Исследовательская команда Unit 42 из Palo Alto Networks вскрыла тайную операцию кибершпионажа с новым, ранее неизвестным вредоносным ПО Landfall для Android. Атака применяла опасную уязвимость нулевого дня, эксплуатируемую напрямую в смартфонах Samsung Galaxy, и была зафиксирована впервые летом 2024 года.
Тихая угроза: заражение без ведома пользователя
Аналитики установили: заражение могло происходить через специальное изображение, переданное в мессенджере. Ключевой кошмар? Для компрометации телефона жертве не требовалось совершать никаких действий – достаточно лишь открыть изображение. Критическому изъяну присвоен официальный идентификатор CVE-2025-21042. Хотя Samsung уже выпустила заплатку, полные детали инцидента компания раскрывать не спешит.
Целевая атака и таинственные истоки Landfall
Разработчик вредоноса и истинный охват операции остаются загадкой. Однако, Unit 42 видит фокусировку на цели в Ближневосточном регионе, намекая на выверенную операцию с четкой разведывательной целью. Еще один тревожный факт: обнаружены совпадения части инфраструктуры Landfall с печально известным шпионским проектом Stealth Falcon. Этот инструмент применялся ранее, еще в 2012, для слежки за журналистами и диссидентами в ОАЭ, хотя прямых доказательств причастности конкретной группы нет.
Масштаб шпионажа и пораженные модели
Образцы Landfall попали в VirusTotal преимущественно от пользователей из Марокко, Ирана, Ирака и Турции на протяжении 2024–2025 гг. Возможности вируса страшны: полный доступ к фотографиям, перепискам, контактам и истории звонков, непрерывное отслеживание местоположения и даже скрытая активация микрофона для подслушивания. Более того, анализ кода вредоноса выявил явное нацеливание на широкий модельный ряд Samsung, включая топовые линейки Galaxy S22, S23, S24, а также уязвимые складные Galaxy Z.
