Дослідники з кібербезпеки виявили нове шпигунське програмне забезпечення для Android під назвою Landfall, яке протягом майже року використовувалося для цілеспрямованих атак на смартфони Samsung Galaxy.
Про це розповідає ProIT
Як працювала атака через уразливість нульового дня
Фахівці підрозділу Unit 42 компанії Palo Alto Networks встановили, що Landfall вперше зафіксували у липні 2024 року. Зловмисники експлуатували невідому на той момент уразливість у програмному забезпеченні Galaxy, так звану «нульового дня» (zero-day), яку Samsung не знала до моменту виявлення. Для компрометації пристрою зловмисники надсилали спеціально створене шкідливе зображення, ймовірно, через один із месенджерів. Атака могла здійснюватись без жодної взаємодії з боку жертви.
Samsung закрила цю критичну уразливість (ідентифікатор CVE-2025-21042) у квітні 2025 року, однак до цього часу деталі шпигунської кампанії залишалися невідомими. Дослідники поки не можуть визначити, яка саме компанія-розробник програм для спостереження стоїть за Landfall, а також невідомо, скільки користувачів постраждали від атаки. Проте є підстави вважати, що ціллю були мешканці Близького Сходу.
“Хакерська кампанія складалася з точкової атаки на окремих осіб, а не масового розповсюдження шкідливого ПЗ, що свідчить про шпигунський характер атак”, – зазначив старший головний дослідник Unit 42 Ітай Коен.
Особливості шпигунського ПЗ та цілі атак
Дослідники Unit 42 з’ясували, що Landfall використовує частину цифрової інфраструктури, яка співпадає з інфраструктурою відомого постачальника програм для стеження Stealth Falcon. Ця компанія була помічена у шпигунських атаках на журналістів, активістів і дисидентів в ОАЕ ще з 2012 року. Водночас, на думку експертів, цього недостатньо, аби однозначно пов’язати Landfall з якимось конкретним замовником чи урядом.
Зразки Landfall, які аналізували спеціалісти, були завантажені на сервіс VirusTotal користувачами з Марокко, Ірану, Іраку та Туреччини протягом 2024 року та на початку 2025-го. Національна команда Туреччини з кіберзахисту (USOM) визнала одну з IP-адрес, з якою з’єднувалося Landfall, шкідливою, що підтверджує версію про атаки на жителів Туреччини.
Landfall, як і інші програми для шпигунства, здатне виконувати широкий спектр функцій з відстеження пристроїв: отримання доступу до даних жертви, зокрема до фотографій, повідомлень, контактів і журналу дзвінків, прослуховування мікрофона та визначення точного місцезнаходження.
Аналіз коду Landfall вказує на націленість на п’ять моделей Galaxy, зокрема Galaxy S22, S23, S24 та деякі моделі Z, але експерти не виключають, що уразливість могла стосуватися і ширшого кола пристроїв Samsung під керуванням Android 13–15.
Samsung поки що публічно не прокоментувала цю ситуацію.
