Исследователи в области кибербезопасности обнаружили новое шпионское программное обеспечение для Android под названием Landfall, которое на протяжении почти года использовалось для целенаправленных атак на смартфоны Samsung Galaxy.
Об этом сообщает ProIT
Как работала атака через уязвимость нулевого дня
Специалисты подразделения Unit 42 компании Palo Alto Networks установили, что Landfall впервые был зафиксирован в июле 2024 года. Злоумышленники эксплуатировали неизвестную на тот момент уязвимость в программном обеспечении Galaxy, так называемую «нулевого дня» (zero-day), о которой Samsung не знала до момента обнаружения. Для компрометации устройства злоумышленники отправляли специально созданное вредоносное изображение, вероятно, через один из мессенджеров. Атака могла осуществляться без какого-либо взаимодействия со стороны жертвы.
Samsung закрыла эту критическую уязвимость (идентификатор CVE-2025-21042) в апреле 2025 года, однако до этого момента детали шпионской кампании оставались неизвестными. Исследователи пока не могут определить, какая именно компания-разработчик программ для наблюдения стоит за Landfall, а также неизвестно, сколько пользователей пострадали от атаки. Тем не менее, есть основания полагать, что целью были жители Ближнего Востока.
“Хакерская кампания состояла из точечной атаки на отдельных лиц, а не массового распространения вредоносного ПО, что свидетельствует о шпионском характере атак”, – отметил старший главный исследователь Unit 42 Итай Коэн.
Особенности шпионского ПО и цели атак
Исследователи Unit 42 выяснили, что Landfall использует часть цифровой инфраструктуры, которая совпадает с инфраструктурой известного поставщика программ для слежки Stealth Falcon. Эта компания была замечена в шпионских атаках на журналистов, активистов и диссидентов в ОАЭ еще с 2012 года. В то же время, по мнению экспертов, этого недостаточно, чтобы однозначно связать Landfall с каким-либо конкретным заказчиком или правительством.
Образцы Landfall, которые анализировали специалисты, были загружены на сервис VirusTotal пользователями из Марокко, Ирана, Ирака и Турции в течение 2024 года и в начале 2025-го. Национальная команда Турции по киберзащите (USOM) признала один из IP-адресов, с которым соединялось Landfall, вредоносным, что подтверждает версию о атаках на жителей Турции.
Landfall, как и другие программы для шпионажа, способно выполнять широкий спектр функций по отслеживанию устройств: получение доступа к данным жертвы, включая фотографии, сообщения, контакты и журнал звонков, прослушивание микрофона и определение точного местоположения.
Анализ кода Landfall указывает на нацеленность на пять моделей Galaxy, включая Galaxy S22, S23, S24 и некоторые модели Z, но эксперты не исключают, что уязвимость могла касаться и более широкого круга устройств Samsung под управлением Android 13–15.
Samsung пока что публично не прокомментировала эту ситуацию.
