Новое шпионское ПО Landfall использовало изображения для взлома телефонов Samsung Galaxy почти год

Дядя Влад

Что произошло? Специалисты по безопасности из подразделения 42 компании Palo Alto Networks обнаружили шпионскую кампанию под названием Landfall для Android. Вредоносное ПО эксплуатировало уязвимость нулевого дня в телефонах Samsung Galaxy, которая могла быть активирована отправкой на телефон вредоносного изображения. По всей видимости, оно использовалось в рамках целенаправленной шпионской кампании.

  • Уязвимость, обозначенная как CVE-2025-21042, скрывалась в библиотеке обработки изображений Samsung, позволяя злоумышленникам заражать устройства с помощью одного вредоносного файла изображения.
  • Эксплойт не требовал никаких действий, то есть жертвам не нужно было ничего открывать или нажимать. Заражение могло произойти при получении вредоносного изображения .DNG через мессенджеры, такие как WhatsApp .
  • Проблема была устранена компанией Samsung в апреле 2025 года, однако шпионское ПО было активно еще с июля 2024 года и работало незаметно в течение почти года, прежде чем было обнаружено.
  • Кампания была в основном нацелена на Samsung Galaxy S22, S23, S24 и складные модели, такие как Z Fold 4 и Z Flip 4, на базе Android 13–15.
как работает шпионское ПО Landfall на телефонах Samsung
Блок 42

Это важно, потому что: даже если Samsung исправит уязвимость в апреле, целевые шпионские кампании могут длиться месяцами . Исследователи описывают это как точечную атаку на конкретных людей, что соответствует слежке, а не массовому преступлению.

  • Жертвы в основном находились на Ближнем Востоке и в Северной Африке, включая Иран, Ирак, Турцию и Марокко, что позволяет предположить геополитические или государственные мотивы.
  • Вредоносное ПО распространялось через сеть серверов, связанных с доменами, ранее связанными с группой наблюдения Stealth Falcon, хотя исследователи не смогли точно установить, кто за этим стоит.
  • По данным Подразделения 42, структура и инфраструктура шпионского ПО указывают на то, что создатели Landfall — профессиональные поставщики услуг видеонаблюдения, а не киберпреступники.
landfall-spyware-hacker
Boitumelo / Unsplash

Почему меня это должно волновать? Для обычных пользователей это показывает, что современное шпионское ПО не всегда требует неосторожного нажатия кнопки; даже получение неправильного файла может привести к срабатыванию эксплойта.

  • После установки Landfall сможет записывать звук, активировать камеру, собирать сообщения, контакты и журналы вызовов, а также отслеживать местоположение в режиме реального времени.

Итак, что дальше? Несмотря на то, что Samsung выпустила исправления для этой уязвимости, исследователи предупреждают, что могут существовать и другие, пока не раскрытые, уязвимости. Если у вас есть устройство Galaxy из списка выше или вы работаете на Android 13–15, вот что вы можете сделать:

  • Убедитесь, что ваш телефон Samsung полностью обновлен.
  • Избегайте открытия изображений или файлов от неизвестных отправителей, даже в распространенных приложениях для обмена сообщениями, таких как Whatsapp.
  • Обращайте внимание на аномалии: неожиданный разряд батареи, перегрев или неизвестное использование фоновых данных могут указывать на неисправность.

Такие уязвимости, как Landfall, довольно сложно обнаружить до того, как они проявятся. Именно поэтому производители телефонов уделяют особое внимание безопасности мобильных устройств: Apple расширяет режим блокировки , а Google тестирует функцию обнаружения угроз в режиме реального времени для пользователей Android .