Исследователи в области безопасности обнаружили сложную кампанию шпионского программного обеспечения, которая в течение последнего года была направлена на телефоны Samsung Galaxy. Названная «Landfall», шпионское ПО использовало ранее неизвестную уязвимость безопасности — «нулевой день» — в программном обеспечении телефонов Galaxy, что подчеркивает постоянную угрозу, исходящую от продвинутых инструментов наблюдения.
Уязвимость «нулевого дня» и ее эксплуатация
Шпионское ПО было впервые обнаружено в июле 2024 года и использовало дефект в программном обеспечении Galaxy, о котором Samsung на тот момент не знал. Эта уязвимость позволяла злоумышленникам потенциально устанавливать шпионское ПО на телефон жертвы просто путем отправки специально созданного изображения, скорее всего, через приложение для обмена сообщениями. Опасно то, что эта атака могла не потребовать никакого взаимодействия с пользователем телефона, что делало ее чрезвычайно сложной для обнаружения и предотвращения.
Samsung устранила уязвимость безопасности, теперь идентифицированную как CVE-2025-21042, в апреле 2025 года. Однако до сих пор подробности кампании шпионского ПО, активно использующей эту уязвимость, не были обнародованы публично.
Выявление тактики и потенциальных целей
Исследователи из Unit 42 компании Palo Alto Networks отметили, что, по всей видимости, это «прецизионная атака», направленная на конкретных лиц, а не на широкое распространение вредоносного ПО. Это сильно указывает на то, что кампанией руководила разведыдывательная деятельность, в которой злоумышленники были сосредоточены на сборе информации о выбранных целях.
Хотя разработчик шпионского ПО Landfall остается неизвестным, Unit 42 обнаружил любопытные связи с известным поставщиком инструментов наблюдения под названием Stealth Falcon. Stealth Falcon ранее был замешан в шпионских атаках на эмиратских журналистов, активистов и диссидентов, начиная с 2012 года. Пересечение цифровой инфраструктуры между Landfall и Stealth Falcon вызывает подозрения, хотя прямую причастность к определенному правительству подтвердить не удалось.
Географический охват и таргетирование устройств
Анализ образцов шпионского ПО Landfall, загруженных в VirusTotal, показал активность, происходящую из Марокко, Ирана, Ирака и Турции в течение 2024 и начала 2025 года. Отдельно стоит отметить, что национальная команда по киберготовности Турции (USOM) отметила один из IP-адресов, использованных Landfall, как вредоносный, что еще больше подтверждает теорию о том, что цели находились в Турции.
Код шпионского ПО конкретно ссылается на пять моделей телефонов Galaxy, включая Galaxy S22, S23 и S24, а также некоторые устройства серии Z. Исследователи считают, что уязвимость могла распространяться и на другие устройства Galaxy, работающие под управлением Android версий 13 через 15.
Возможности шпионского ПО Landfall
Подобно другим шпионским программам государственного уровня, Landfall предлагает широкие возможности наблюдения за устройством. Оно способно получать доступ к широкому спектру личных данных, включая фотографии, сообщения, контакты и журналы звонков. Кроме того, оно может активировать микрофон устройства для записи звука и отслеживать точное местоположение пользователя.
Это последнее открытие подчеркивает постоянные проблемы, вызванные сложными шпионскими программами, и необходимость повышенной бдительности среди лиц, находящихся в зоне риска целенаправленной слежки.
Появление Landfall подчеркивает постоянную и развивающуюся угрозу целенаправленных атак шпионского ПО, особенно в отношении лиц, проживающих в регионах, известных политическим и социальным активизмом. Хотя Samsung устранила конкретную уязвимость, этот инцидент служит напоминанием о важности поддержания устройств в актуальном состоянии и осторожности при открытии вложений или ссылок из ненадежных источников.
