Малверот „Landfall“ ги таргетирал корисниците на Samsung Galaxy

Алатката им овозможувала на нејзините оператори тајно да снимаат разговори, да ја следат локацијата на уредите, да прават фотографии, да собираат контакти и да извршуваат други облици на надзор врз компромитираните уреди.

Најверојатно приватен продавач на офанзивни безбедносни алатки тивко ја искористил zero-day ранливоста во библиотеката за обработка на слики во Android системот на Samsung, со цел да инсталира шпионски софтвер од комерцијален ранг на таргетирани Samsung Galaxy корисници на Блискиот Исток.

Злонамерната активност траела најмалку од средината на 2024 година до април 2025, кога Samsung ја поправил ранливоста откако истражувач приватно ја пријавил. Истражувачите од Unit 42 тимот на Palo Alto Networks го откриле шпионскиот софтвер додека истражувале јавни извештаи за експлоатирање на iOS уреди претходно оваа година.

Заканата „Landfall“

Истражувачите го нарекле малверот „Landfall“ и во извештајот оваа недела го опишале како алатка што им овозможува на напаѓачите тајно да снимаат разговори, да ја следат локацијата на уредите, да прават фотографии, да собираат контакти и листи на повици, и да спроведуваат сеопфатен надзор врз компромитираните уреди.

Тимот забележал дека напаѓачите ја искористувале CVE-2025-21042, критична ранливост во библиотеката за обработка на слики на Samsung, за да го испорачаат шпионскиот софтвер преку специјално изработени Digital Negative (DNG) слики.

Анализата на Unit 42 покажала дека напаѓачите најверојатно ги испраќале овие „оружени“ слики преку WhatsApp, главно до цели во Ирак, Иран, Турција и Мароко.

Синџирот на експлоатација, според Unit 42, многу наликувал на слични напади откриени на iOS во ист период, што укажува на поширок образец на координирано искористување на ранливости во обработката на слики на повеќе мобилни платформи.

„Од првото појавување на примероците во јули 2024 година, оваа активност покажува колку софистицираните експлоити можат да останат во јавни репозиториуми подолг период пред целосно да се разберат,“ стои во извештајот на Unit 42.

„Анализата на ‘лоадерот’ открива докази за комерцијално развиена активност. Компонентите на шпионскиот софтвер Landfall укажуваат на напредни способности за прикривање, упорност и сеопфатно собирање податоци од современите Samsung уреди.“

Загрижувачки образец

Активноста што ја откри Unit 42 се совпаѓа со слични кампањи во последните години, во кои влади, разузнавачки агенции и органи за спроведување на законот користеле софистицирани, комерцијално достапни шпионски алатки за мобилни уреди за да ги следат активистите за граѓански права, политичките опоненти, тинк-тенковите и новинарите од интерес.

Најпознатите снабдувачи на вакви алатки ги вклучуваат NSO Group и нивниот озлогласен шпионски софтвер Pegasus, Cytox/Intellexa со нивниот Predator шпионски софтвер и поширокиот Nova пакет на злонамерни алатки, како и Gamma со својот FinFisher FinSpy алат.

Минатата година, Google изјави дека ваквите актери биле одговорни за речиси половина од сите zero-day ранливости во нивните производи во периодот од 2014 до 2023 година.

А само минатиот месец, федерален судија во САД формално ја забрани NSO Group да извршува reverse engineering на WhatsApp со цел испорака на шпионски софтвер.

Патот што довел до откритието на Unit 42 за „Landfall“ започнал со нивната истрага на злонамерни активности поврзани со CVE-2025-43300, zero-day ранливост што влијаела врз компонентата за парсирање на DNG слики во Apple iOS.

Набргу по објавата од Apple, WhatsApp пријавил друга zero-day ранливост (CVE-2025-55177) во функцијата за синхронизација на уреди, која напаѓачите ја комбинирале со CVE-2025-43300 за да ги натераат компромитираните уреди да обработуваат содржина од URL-адреси под контрола на напаѓачите.
Во септември, WhatsApp пријавил слична ранливост (CVE-2025-21043) и кај Samsung.

Патот до откритието

Истражувањето на Unit 42 за злонамерната активност на iOS довело до откривање на неправилно формирани DNG датотеки што содржеле Landfall, поставени на VirusTotal во 2024 и 2025 година.
Анализата покажала дека шпионскиот софтвер има модуларен дизајн и е оптимизиран за надзор на премиум Samsung уреди како Galaxy S22, S23 и S24 сериите, со цел да краде податоци од нив.

Врз основа на командни низи и патеки на извршување, истражувачите откриле дека Landfall е опремен за детално идентификување на уредите (fingerprinting), екфилтрација на податоци и преземање дополнителни злонамерни компоненти (payloads).

Најзагрижувачки биле механизмите за избегнување откривање. Unit 42 открил дека малверот содржи повеќе анти-анализирачки функции, вклучувајќи:

• откривање кога е анализиран од безбедносни истражувачи,
• препознавање кога е во режим на debugging,
• детекција на популарни reverse-engineering алатки,
• и самостојно добивање повисоки привилегии во системот.

Истражувачите од Unit 42 идентификувале најмалку шест C2 (command and control) сервери што ги користеле напаѓачите за комуникација со малверот.
Инфраструктурата на Landfall имала повеќе сличности со инфраструктурата поврзана со „Stealth Falcon“, друг снабдувач на целни шпионски кампањи.

„Индиректните докази укажуваат дека може да постои врска меѓу оваа група и владата на Обединетите Арапски Емирати (ОАЕ), но тоа сè уште не е потврдено,“ изјавија од Unit 42.
Сепак, тие додадоа дека освен совпаѓањето во инфраструктурата, досега нема други податоци (telemetry) што би укажале на директна поврзаност меѓу Stealth Falcon и Landfall.

Извори:

• Darkreading – „’Landfall’ Malware Targeted Samsung Galaxy Users“ Darkreading