Шпионское ПО Landfall нацелено на телефоны Samsung Galaxy
Исследователи безопасности обнаружили шпионское ПО для Android, которое нацеливалось на телефоны Samsung Galaxy в ходе хакерской кампании, длившейся почти год.
Специалисты Unit 42 компании Palo Alto Networks сообщили, что шпионское ПО, которое они называют Landfall, впервые было обнаружено в июле 2024 года. Оно использовало уязвимость в программном обеспечении телефонов Galaxy, о которой в то время Samsung не знала. Такая уязвимость известна как zero-day.
Unit 42 сообщила, что уязвимость можно было использовать, отправив на телефон жертвы специально созданный вредоносный файл изображения, вероятно, через приложение для обмена сообщениями. При этом атаки, возможно, не требовали какого-либо взаимодействия со стороны жертвы.
Samsung устранила уязвимость (отслеженную как CVE-2025-21042) в апреле 2025 года, но подробности о кампании со шпионским ПО, использующим эту уязвимость, ранее не сообщались.
Исследователи отметили в своём блоге, что неизвестно, какой поставщик услуг наблюдения разработал шпионское ПО Landfall, и неизвестно, сколько человек стали мишенями в рамках кампании. Однако они полагают, что атаки, вероятно, были направлены на жителей Ближнего Востока.
Итай Коэн, старший главный исследователь Unit 42, сообщил TechCrunch, что хакерская кампания представляла собой «точечную атаку» на конкретных людей, а не массовое распространение вредоносного ПО. Это указывает на то, что атаки, вероятно, были связаны со шпионажем.
Unit 42 обнаружила, что шпионское ПО Landfall использует общую цифровую инфраструктуру, которую ранее использовал известный поставщик услуг наблюдения Stealth Falcon. Stealth Falcon участвовал в атаках со шпионским ПО против эмиратских журналистов, активистов и диссидентов ещё в 2012 году. Однако исследователи отметили, что связей с Stealth Falcon недостаточно, чтобы однозначно приписать атаки конкретному государственному заказчику.
Unit 42 сообщила, что образцы шпионского ПО Landfall, которые они обнаружили, были загружены на сервис сканирования вредоносного ПО VirusTotal пользователями из Марокко, Ирана, Ирака и Турции в течение 2024 и начала 2025 года.
Национальная группа киберготовности Турции, известная как USOM, отметила один из IP-адресов, с которым связывалось шпионское ПО Landfall, как вредоносный. Это, по словам Unit 42, подтверждает теорию о том, что мишенями могли быть жители Турции.
Как и другое государственное шпионское ПО, Landfall способно осуществлять широкий спектр слежки за устройством, включая доступ к данным жертвы (фотографиям, сообщениям, контактам и журналам вызовов), прослушивание через микрофон устройства и отслеживание точного местоположения.
Unit 42 обнаружила, что в исходном коде шпионского ПО упоминаются пять конкретных моделей телефонов Galaxy, включая Galaxy S22, S23, S24 и некоторые модели Z. Коэн сказал, что уязвимость могла присутствовать и на других устройствах Galaxy и затрагивать версии Android с 13 по 15.
Samsung не ответила на запрос о комментариях.