Badacze zajmujący się bezpieczeństwem odkryli wyrafinowaną kampanię oprogramowania szpiegującego, której celem były telefony Samsung Galaxy w zeszłym roku. Oprogramowanie szpiegowskie, nazwane „Landfall”, wykorzystywało nieznaną wcześniej lukę w zabezpieczeniach „dnia zerowego” w oprogramowaniu telefonów Galaxy, podkreślając ciągłe zagrożenie stwarzane przez zaawansowane narzędzia nadzoru.
Luka typu zero-day i jej wykorzystanie
Oprogramowanie szpiegowskie zostało po raz pierwszy wykryte w lipcu 2024 r. i wykorzystywało lukę w oprogramowaniu Galaxy, o której Samsung wówczas nie wiedział. Luka umożliwia atakującym potencjalnie zainstalowanie oprogramowania szpiegującego na telefonie ofiary po prostu poprzez wysłanie specjalnie spreparowanego obrazu, najprawdopodobniej za pośrednictwem aplikacji do przesyłania wiadomości. Niebezpieczne jest to, że ten atak mógł nie wymagać żadnej interakcji ze strony użytkownika telefonu, co znacznie utrudnia jego wykrycie i zapobieżenie.
Firma Samsung załatała lukę w zabezpieczeniach, obecnie zidentyfikowaną jako CVE-2025-21042, w kwietniu 2025 r. Jednak do tej pory szczegóły kampanii oprogramowania szpiegującego aktywnie wykorzystującej tę lukę nie zostały ujawnione publicznie.
Określ taktykę i potencjalne cele
Badacze z Jednostki 42 Palo Alto Networks zauważyli, że wygląda to na „precyzyjny atak” wymierzony w konkretne osoby, a nie na masową dystrybucję szkodliwego oprogramowania. To zdecydowanie sugeruje, że motywem kampanii były działania wywiadowcze, w których napastnicy skupiali się na zbieraniu informacji na temat wybranych celów.
Choć twórca oprogramowania szpiegującego Landfall pozostaje nieznany, jednostka 42 odkryła intrygujące powiązania ze znanym dostawcą narzędzi do nadzoru o nazwie Stealth Falcon. Stealth Falcon był już wcześniej zamieszany w ataki szpiegowskie na dziennikarzy, aktywistów i dysydentów ze Zjednoczonych Emiratów Arabskich, które rozpoczęły się w 2012 r. Nakładanie się infrastruktury cyfrowej między Landfall i Stealth Falcon jest podejrzane, chociaż nie udało się potwierdzić bezpośredniego powiązania z konkretnym rządem.
Zasięg geograficzny i kierowanie na urządzenia
Analiza próbek oprogramowania szpiegującego Landfall przesłanych do VirusTotal wykazała aktywność pochodzącą z Maroka, Iranu, Iraku i Turcji w 2024 r. i na początku 2025 r. Co więcej, turecki zespół ds. gotowości cybernetycznej (USOM) oznaczył jeden z adresów IP wykorzystywanych przez Landfall jako szkodliwy, co dodatkowo potwierdza teorię, że cele znajdowały się w Turcji.
Kod oprogramowania szpiegującego odnosi się konkretnie do pięciu modeli telefonów Galaxy, w tym Galaxy S22, S23 i S24, a także niektórych urządzeń z serii Z. Badacze uważają, że luka mogła rozprzestrzenić się na inne urządzenia Galaxy z systemem Android w wersjach od 13 do 15.
Funkcje oprogramowania szpiegującego Landfall
Podobnie jak inne programy szpiegujące na poziomie rządowym, Landfall oferuje szerokie możliwości nadzoru urządzeń. Ma dostęp do szerokiego zakresu danych osobowych, w tym zdjęć, wiadomości, kontaktów i rejestrów połączeń. Dodatkowo może aktywować mikrofon urządzenia, aby nagrywać dźwięk i śledzić dokładną lokalizację użytkownika.
To najnowsze odkrycie podkreśla ciągłe problemy powodowane przez wyrafinowane oprogramowanie szpiegowskie oraz potrzebę zwiększonej czujności wśród osób zagrożonych ukierunkowaną inwigilacją.
Pojawienie się Landfall uwydatnia ciągłe i zmieniające się zagrożenie ukierunkowanymi atakami oprogramowania szpiegującego, zwłaszcza na osoby mieszkające w regionach znanych z aktywności politycznej i społecznej. Chociaż firma Samsung załatała tę konkretną lukę, incydent ten przypomina, jak ważne jest aktualizowanie urządzeń i zachowanie ostrożności podczas otwierania załączników lub łączy z niezaufanych źródeł.
