18.11.2025
Дата публикации
Исследователи из Palo Alto Networks раскрыли
масштабную кампанию, в ходе которой коммерческое шпионское ПО Landfall почти год тайно действовало на смартфонах Samsung Galaxy.
Атака использовала уязвимость нулевого дня в Android‑прошивке Samsung, позволявшую извлекать данные и управлять устройством без участия пользователя.
Шпионский софт проникал на устройства через мессенджеры, такие как WhatsApp, в виде специально подготовленных файлов изображений. Кто занимался их отправкой, в отчёте не указывается.
Landfall впервые был замечен летом 2024 года, а официальное исправление Samsung выпустил лишь в апреле 2025‑го, когда угроза уже действовала почти год.
Особенность атаки — «нулевой клик»: заражение происходило автоматически при обработке изображения, без необходимости открывать файл.
Злоумышленники использовали модифицированные DNG‑файлы, внутри которых скрывались ZIP‑архивы с вредоносным кодом, запускавшим шпионскую программу.
После активации Landfall менял политику SELinux, получал расширенные права и начинал собирать контакты, файлы, историю браузера, а также мог включать камеру и микрофон.
Исследователи обнаружили, что атаки были направлены на конкретные модели: Galaxy S22, S23, S24, Z Flip 4 и Z Fold 4.
По данным исследователей, заражённые устройства фиксировались в Ираке, Иране, Турции и Марокко, что указывает на региональную направленность кампании.
Код Landfall имеет сходство с промышленным шпионским ПО NSO Group и Variston, но прямой связи с конкретной организацией исследователям установить не удалось.
Эксперты предупреждают: хотя уязвимость закрыта, методы Landfall могут быть использованы другими группами.
Владельцам Samsung и других брендов смартфонов важно регулярно обновлять устройства до актуальных версий прошивок операционной системы.
Атака использовала уязвимость нулевого дня в Android‑прошивке Samsung, позволявшую извлекать данные и управлять устройством без участия пользователя.
Шпионский софт проникал на устройства через мессенджеры, такие как WhatsApp, в виде специально подготовленных файлов изображений. Кто занимался их отправкой, в отчёте не указывается.
Landfall впервые был замечен летом 2024 года, а официальное исправление Samsung выпустил лишь в апреле 2025‑го, когда угроза уже действовала почти год.
Особенность атаки — «нулевой клик»: заражение происходило автоматически при обработке изображения, без необходимости открывать файл.
Злоумышленники использовали модифицированные DNG‑файлы, внутри которых скрывались ZIP‑архивы с вредоносным кодом, запускавшим шпионскую программу.
После активации Landfall менял политику SELinux, получал расширенные права и начинал собирать контакты, файлы, историю браузера, а также мог включать камеру и микрофон.
Исследователи обнаружили, что атаки были направлены на конкретные модели: Galaxy S22, S23, S24, Z Flip 4 и Z Fold 4.
По данным исследователей, заражённые устройства фиксировались в Ираке, Иране, Турции и Марокко, что указывает на региональную направленность кампании.
Код Landfall имеет сходство с промышленным шпионским ПО NSO Group и Variston, но прямой связи с конкретной организацией исследователям установить не удалось.
Эксперты предупреждают: хотя уязвимость закрыта, методы Landfall могут быть использованы другими группами.
Владельцам Samsung и других брендов смартфонов важно регулярно обновлять устройства до актуальных версий прошивок операционной системы.
