Вразливість Samsung Galaxy: як новий шкідливий ПЗ ‘Landfall’ здійснює атаки через нульовий день

У світі кібербезпеки знову пролунали тривожні сигнали: дослідники виявили новий шкідливий програмний продукт, який націлений на смартфони Samsung Galaxy. Це програмне забезпечення, що отримало назву “Landfall”, стало результатом тривалої хакерської кампанії, що тривала майже рік.

Фахівці з Palo Alto Networks в Unit 42 повідомляють, що “Landfall” вперше було виявлено в липні 2024 року, і його діяльність базувалася на використанні нульового дня — небезпечної вразливості в програмному забезпеченні Galaxy, про яку на той момент не знала сама компанія Samsung. Зловмисники могли надіслати жертві зловмисно модифіковане зображення, ймовірно, через месенджер, що дозволяло проводити атаки без необхідності будь-якої взаємодії з боку жертви.

Згідно з інформацією Unit 42, Samsung виправила цю вразливість, ідентифіковану як CVE-2025-21042, у квітні 2025 року. Однак подробиці кампанії, яка використовувала цю вразливість, до цього часу залишалися маловідомими. Дослідники не змогли точно визначити, яка компанія чи організація розробила “Landfall”, а також не вдалося встановити, скільки осіб стали мішенями атак. Проте вони вважають, що атаки, швидше за все, були націлені на індивідуумів у Близькому Сході.

На думку Ітая Коена, старшого дослідника Unit 42, ця хакерська кампанія має окремий характер, оскільки вражала конкретних осіб, що свідчить про елементи шпіонажу, а не масову поширеність шкідливого ПЗ. Виявилося, що “Landfall” використовує частини цифрової інфраструктури, асоційованої з відомим постачальником шпигунських програм, відомим як Stealth Falcon, що мав справу з атаками на журналістів, активістів і незгодних в ОАЕ ще з 2012 року. Проте, незважаючи на цікаві зв’язки з Stealth Falcon, дослідники не змогли чітко прив’язати ці атаки до конкретної державної установи.

Unit 42 виявила, що зразки “Landfall” були завантажені на VirusTotal, службу сканування шкідливих програм, з телефонами, які знаходились в Марокко, Ірані, Іраку і Туреччині впродовж 2024 та початку 2025 років. Кібернетична команда готовності Туреччини, відома як USOM, позначила одну з IP-адрес, з якою з’єднувався “Landfall”, як шкідливу, що посилює припущення про можливу цілеву аудиторію в Туреччині.

“Landfall”, подібно до інших урядових шпигунських програм, має можливість широкого моніторингу пристроїв, що включає доступ до персональних даних жертви, таких як фотографії, повідомлення, контакти і журнали дзвінків, а також активування мікрофону пристрою і відстеження його точного місцезнаходження. Дослідники також виявили, що вихідний код шпигунського програмного забезпечення згадує п’ять конкретних моделей Galaxy, таких як S22, S23, S24, та кілька моделей Z. За словами Коена, цю вразливість могли мати й інші пристрої Galaxy, а також версії Android від 13 до 15.

Samsung наразі не надала жодних коментарів з цього приводу.