Дослідники знову виявили шпигунське програмне забезпечення для Android, яке націлювалося на телефони Samsung Galaxy протягом майже року.
Фахівці з Palo Alto Networks, що належать до підрозділу Unit 42, повідомили, що шпигунське ПЗ, яке вони назвали «Landfall», було вперше зафіксовано в липні 2024 року. Воно використовувало вразливість програмного забезпечення телефонів Galaxy, яка на той час була невідома компанії Samsung, і відноситься до типу вразливостей, відомих як zero-day.
Що відомо про вразливість
Unit 42 зазначила, що цю вразливість можна було експлуатувати шляхом відправки шкідливо сформованого зображення на телефон жертви, яке, ймовірно, доставлялося через програму для обміну повідомленнями, і що атаки, можливо, не вимагали жодної взаємодії з боку жертви.
Samsung виправила цю вразливість — відстежену під номером CVE-2025-21042 — в квітні 2025 року, але подробиці про кампанію шпигунства, яка зловживала цією вразливістю, раніше не були оприлюднені.
Дослідники в блозі повідомили, що не вдається встановити, який підприємець у сфері спостереження розробив шпигунське ПЗ Landfall, і невідомо, скільки осіб стали жертвами цієї кампанії. Проте, експерти вважають, що атаки, ймовірно, були спрямовані на конкретних осіб на Близькому Сході.
Ітай Коен, старший науковий працівник Unit 42, розповів, що кампанія зламу являла собою «цільову атаку» на окремих осіб, а не масово розповсюджене шкідливе ПЗ, що свідчить про ймовірний шпигунський характер атак.
Unit 42 виявила, що шпигунське ПЗ Landfall використовує аналогічну цифрову інфраструктуру, яку застосовують відомі постачальники спостереження на зразок Stealth Falcon, які раніше здійснювали атаки шпигунським ПЗ на еміратських журналістів, активістів і дисидентів починаючи з 2012 року. Проте дослідники зазначили, що зв’язки з Stealth Falcon, хоча й цікаві, не є достатніми для чіткого встановлення відповідності атак конкретному замовнику з уряду.
Unit 42 також виявила, що зразки шпигунського ПЗ Landfall були завантажені на сервіс сканування шкідливих програм VirusTotal від осіб з Марокко, Ірану, Іраку та Туреччини протягом 2024 та початку 2025 років.
Національна команда кіберготовності Туреччини, відома як USOM, зафіксувала одну з IP-адрес, до яких підключалося шпигунське ПЗ Landfall, як таку, що є шкідливою, що підтримує теорію про те, що особи в Туреччині могли стати цілями атак.
Подібно до інших урядових шпигунських програм, Landfall здатна на широке стеження за пристроями, включаючи доступ до даних жертви, таких як фотографії, повідомлення, контакти та журнали дзвінків, а також активувати мікрофон пристрою і відстежувати його точне місцезнаходження.
Unit 42 виявила, що код шпигунського ПЗ згадує п’ять конкретних моделей Galaxy, включаючи S22, S23, S24 та деякі моделі Z, як цілі. Коен зазначив, що вразливість могла також бути присутня на інших пристроях Galaxy і торкатися версій Android з 13 по 15.
Samsung не надала коментарів щодо запиту.
