Исследовательское подразделение Unit 42 компании Palo Alto Networks раскрыло новую кампанию кибершпионажа, в рамках которой использовалось ранее неизвестное вредоносное ПО Landfall для Android. Атака эксплуатировала уязвимость нулевого дня в смартфонах Samsung Galaxy и была впервые зафиксирована в июле 2024 года, сообщает TechCrunch.

© Samsung

По данным аналитиков, заражение могло происходить через специально сформированное изображение, отправленное через мессенджер. Ключевая особенность заключается в том, что для компрометации устройства не требовалось никакого взаимодействия со стороны жертвы. Уязвимости присвоен идентификатор CVE-2025-21042. Samsung уже выпустила патч, однако отказывается от детального раскрытия информации об инциденте.

Разработчик вредоноса и точный масштаб атак остаются неизвестными. Вместе с тем география потенциальных целей, по оценке Unit 42, сосредоточена на Ближнем Востоке, что может указывать на целевой характер операции с разведывательной направленностью.

Аналитики также выявили пересечения части инфраструктуры Landfall с шпионским проектом Stealth Falcon, который в 2012 году применялся для слежки за журналистами и активистами в ОАЭ. Однако прямых доказательств причастности конкретной группировки пока не обнаружено.

Образцы вредоносного ПО загружались в VirusTotal пользователями из Марокко, Ирана, Ирака и Турции на протяжении 2024–2025 годов. Функциональность Landfall включает сбор фото, сообщений, контактов и истории вызовов, мониторинг геолокации и удаленную активацию микрофона.

В исходном коде вредоносного ПО обнаружены упоминания широкого спектра устройств Samsung, включая флагманские линейки Galaxy S22, S23, S24, а также некоторые складные модели Galaxy Z.