Samsung Galaxy S24. Источник: Samsung
Команда кибербезопасности Unit 42 из Palo Alto Networks обнаружила опасное шпионское программное обеспечение под названием Landfall, которое использовало уязвимость нулевого дня в смартфонах Samsung Galaxy. Хакерская кампания длилась почти год, начиная с июля 2024 года, и оставалась незамеченной до апреля 2025-го.
Что известно
Атака осуществлялась путем отправки специально созданного изображения, скорее всего, через приложение для обмена сообщениями. Заражение устройства произошло без участия пользователя – достаточно было просто получить изображение. Уязвимость получила код CVE-2025-21042 и касалась версий Android 13–15.
По словам Итая Коэна из Unit 42, Landfall использовалось в "точечных атаках" против отдельных лиц, вероятно с целью политического шпионажа. Больше всего случаев фиксировали в Марокко, Иране, Ираке и Турции. Турецкая киберкоманда USOM подтвердила наличие подозрительных IP-адресов, к которым подключалось Landfall.
Исследователи обнаружили, что инфраструктура Landfall имеет общие черты с известным поставщиком шпионского ПО Stealth Falcon, который ранее атаковал журналистов и активистов на Ближнем Востоке. Однако четких доказательств причастности конкретной государственной структуры пока нет.
Landfall нацеливалось на устройства Galaxy S22, S23, S24, а также отдельные модели серии Fold и Flip. ПО имело полный доступ к устройству: фото, контакты, звонки, сообщения, микрофон и геолокацию.
Источник: Palo Alto Networks Unit 42