Дослідники безпеки виявили складну кампанію шпигунського програмного забезпечення, націлене на телефони Samsung Galaxy протягом останнього року. Шпигунське програмне забезпечення під назвою «Landfall» використовувало раніше невідому вразливість безпеки «нульового дня» в програмному забезпеченні телефонів Galaxy, підкреслюючи постійну загрозу, яку створюють вдосконалені інструменти стеження.
Уразливість нульового дня та її використання
Шпигунське програмне забезпечення було вперше виявлено в липні 2024 року та використовувало недолік у програмному забезпеченні Galaxy, про який Samsung на той момент не знала. Уразливість дозволяла зловмисникам потенційно встановлювати шпигунське програмне забезпечення на телефоні жертви, просто надсилаючи спеціально створене зображення, швидше за все, через програму обміну повідомленнями. Небезпечно те, що ця атака могла не вимагати жодної взаємодії з користувачем телефону, тому її надзвичайно важко виявити та запобігти.
У квітні 2025 року компанія Samsung виправила вразливість системи безпеки, яка зараз позначена як CVE-2025-21042. Однак досі подробиці кампанії шпигунського програмного забезпечення, яка активно використовує цю вразливість, не розголошуються.
Визначте тактику та потенційні цілі
Дослідники з підрозділу 42 Palo Alto Networks відзначили, що це, схоже, «точна атака», спрямована на конкретних осіб, а не на широке поширення шкідливого програмного забезпечення. Це переконливо свідчить про те, що кампанією керувала розвідувальна діяльність, у ході якої зловмисники були зосереджені на зборі інформації про вибрані цілі.
Хоча розробник шпигунського програмного забезпечення Landfall залишається невідомим, Unit 42 виявив інтригуючі зв’язки з відомим постачальником засобів спостереження Stealth Falcon. Раніше Stealth Falcon був замішаний у шпигунських атаках на журналістів, активістів і дисидентів ОАЕ, починаючи з 2012 року. Збіг цифрової інфраструктури між Landfall і Stealth Falcon є підозрілим, хоча пряму причетність до конкретного уряду підтвердити не вдалося.
Географічне покриття та націлювання на пристрої
Аналіз зразків шпигунського програмного забезпечення Landfall, завантажених у VirusTotal, показав активність, що походить з Марокко, Ірану, Іраку та Туреччини протягом 2024 року та на початку 2025 року. Крім того, національна команда готовності до кібернетичної активності Туреччини (USOM) позначила одну з IP-адрес, які використовує Landfall, як зловмисну, що ще більше підтверджує теорію про те, що цілі були розташовані в Туреччині.
Код шпигунського програмного забезпечення конкретно посилається на п’ять моделей телефонів Galaxy, включаючи Galaxy S22, S23 і S24, а також деякі пристрої серії Z. Дослідники вважають, що вразливість могла поширитися на інші пристрої Galaxy, які працюють під управлінням Android версій 13-15.
Особливості шпигунського програмного забезпечення Landfall
Як і інше шпигунське програмне забезпечення державного рівня, Landfall пропонує широкі можливості спостереження за пристроями. Він здатний отримати доступ до широкого спектру особистих даних, включаючи фотографії, повідомлення, контакти та журнали викликів. Крім того, він може активувати мікрофон пристрою для запису звуку та відстеження точного місцезнаходження користувача.
Це останнє відкриття підкреслює поточні проблеми, спричинені складними шпигунськими програмами, і потребу в підвищеній пильності серед осіб, яким загрожує цілеспрямоване стеження.
Поява Landfall підкреслює постійну та зростаючу загрозу цілеспрямованих шпигунських атак, особливо проти осіб, які проживають у регіонах, відомих своєю політичною та соціальною активністю. Незважаючи на те, що Samsung усунула конкретну вразливість, цей інцидент служить нагадуванням про важливість оновлення пристроїв і обережності під час відкриття вкладень або посилань із ненадійних джерел.
