Bezpečnostní výzkumníci objevili sofistikovanou spywarovou kampaň, která se za poslední rok zaměřovala na telefony Samsung Galaxy. Spyware, nazvaný „Landfall“, zneužil dříve neznámou bezpečnostní zranitelnost „zero-day“ v softwaru telefonů Galaxy, čímž upozornil na pokračující hrozbu, kterou představují pokročilé nástroje pro sledování.
Zero-day zranitelnost a její zneužití
Spyware byl poprvé objeven v červenci 2024 a využíval chyby v softwaru Galaxy, o které Samsung v té době nevěděl. Tato chyba zabezpečení umožňovala útočníkům potenciálně instalovat spyware do telefonu oběti jednoduše odesláním speciálně vytvořeného obrázku, pravděpodobně prostřednictvím aplikace pro zasílání zpráv. Nebezpečné je, že tento útok nemusel vyžadovat žádnou interakci ze strany uživatele telefonu, takže jeho odhalení a zabránění je extrémně obtížné.
Společnost Samsung tuto chybu zabezpečení, nyní označenou jako CVE-2025-21042, opravila v dubnu 2025. Podrobnosti o spywarové kampani aktivně využívající tuto chybu zabezpečení však dosud nebyly zveřejněny.
Identifikujte taktiku a potenciální cíle
Výzkumníci z Unit 42 Palo Alto Networks poznamenali, že se zdá, že jde o „útok na přesnost“ zaměřený spíše na konkrétní jednotlivce než na rozšířenou distribuci malwaru. To silně naznačuje, že kampaň byla vedena zpravodajskými aktivitami, ve kterých se útočníci zaměřovali na získávání informací o vybraných cílech.
Zatímco vývojář spywaru Landfall zůstává neznámý, Unit 42 objevila zajímavá spojení se známým poskytovatelem sledovacích nástrojů jménem Stealth Falcon. Stealth Falcon byl již dříve zapleten do špionážních útoků na emirátské novináře, aktivisty a disidenty počínaje rokem 2012. Překrývání digitální infrastruktury mezi Landfall a Stealth Falcon je podezřelé, ačkoli přímé zapojení konkrétní vlády nebylo možné potvrdit.
Geografické pokrytí a cílení na zařízení
Analýza vzorků spywaru Landfall nahraných do VirusTotal ukázala aktivitu pocházející z Maroka, Íránu, Iráku a Turecka během roku 2024 a začátkem roku 2025. V samostatné poznámce označil turecký národní tým kybernetické přípravy (USOM) jednu z IP adres používaných Landfall jako škodlivou, což dále podporuje teorii, že se cíle nacházely v Turecku.
Kód spywaru konkrétně odkazuje na pět modelů telefonů Galaxy, včetně Galaxy S22, S23 a S24, a také na některá zařízení řady Z. Výzkumníci se domnívají, že zranitelnost se mohla rozšířit na další zařízení Galaxy se systémem Android verze 13 až 15.
Vlastnosti spywaru Landfall
Stejně jako ostatní spyware na vládní úrovni nabízí Landfall rozsáhlé možnosti sledování zařízení. Je schopen přistupovat k široké škále osobních údajů, včetně fotografií, zpráv, kontaktů a protokolů hovorů. Navíc může aktivovat mikrofon zařízení pro záznam zvuku a sledování přesné polohy uživatele.
Tento nejnovější objev zdůrazňuje přetrvávající problémy způsobené sofistikovaným spywarem a potřebu zvýšené ostražitosti mezi jednotlivci, kterým hrozí cílené sledování.
Vznik Landfall poukazuje na pokračující a vyvíjející se hrozbu cílených spywarových útoků, zejména proti jednotlivcům žijícím v regionech známých politickým a společenským aktivismem. Přestože společnost Samsung tuto konkrétní zranitelnost opravila, tento incident slouží jako připomínka důležitosti udržovat zařízení v aktuálním stavu a být opatrní při otevírání příloh nebo odkazů z nedůvěryhodných zdrojů.
