Unit 42 раскрыла шпионскую кампанию Landfall: год слежки за владельцами Samsung Galaxy через 0-day
Почти год смартфоны Samsung Galaxy оставались открытой дверью для шпионского ПО Landfall. Исследователи Palo Alto Networks Unit 42 установили, что вредонос эксплуатировал неизвестную ранее уязвимость CVE-2025-21042 в библиотеке обработки изображений устройств. Достаточно было получить одно специально подготовленное фото — чаще всего через мессенджеры вроде WhatsApp — и вредонос незаметно активировался без какого-либо нажатия со стороны пользователя. Производитель закрыл дыру лишь в апреле 2025-го, тогда как первые случаи заражения датируются июлем 2024-го.
После проникновения Landfall получал практически неограниченный доступ к содержимому аппарата: похищал фотографии, SMS и контакты, перехватывал историю звонков, включал микрофон, отслеживал координаты и даже мог записывать разговоры. В коде найдены упоминания флагманских линеек Galaxy S22, S23, S24, а также некоторых складных моделей серии Z; аналитики полагают, что уязвимость затрагивала и другие устройства Samsung на Android 13–15.
Кампания носила точечный характер и была ориентирована на конкретных людей, преимущественно на Ближнем Востоке. Образцы Landfall загружали на VirusTotal пользователи из Марокко, Ирана, Ирака и Турции; один из связанных IP-адресов уже помечен турецкой CERT USOM как вредоносный. Часть инфраструктуры совпала с ресурсами, задействованными в проекте Stealth Falcon, работавшем против журналистов ОАЭ, однако прямых доказательств связи с этим актором пока нет.
Сам Samsung ситуацию пока не комментирует. Эксперты рекомендуют владельцам Galaxy убедиться в наличии апрельского патча 2025 года и по возможности обновить систему до актуальной версии безопасности. Случай Landfall ещё раз напоминает: даже одно изображение, полученное в чате, способно превратить флагманский смартфон в карманный микрофон и камеру наблюдения, если на устройстве отсутствуют свежие обновления.
