Хакеры использовали Android-шпион Landfall для слежки за пользователями смартфонов Samsung

Специалисты подразделения Unit 42 компании Palo Alto Networks выявили новое шпионское ПО для Android под названием Landfall. Оно использовалось в хакерской кампании, где злоумышленники применяли уязвимость нулевого дня в смартфонах Samsung Galaxy. Впервые Landfall обнаружили в июле 2024 года.

Исследователи установили, что атака могла происходить через специально подготовленное изображение, отправленное жертве, чаще всего через мессенджеры. Для заражения не требовались какие-либо действия со стороны пользователя. Уязвимость получила идентификатор CVE-2025-21042. Samsung уже выпустила исправление, но детали кампании не раскрывает.

Определить разработчиков Landfall пока не удалось, как и оценить масштаб атаки. Однако, по данным Unit 42, цели, вероятно, находились в странах Ближнего Востока, что указывает на шпионский характер операции.

Исследователи обнаружили, что часть инфраструктуры Landfall пересекается с проектом Stealth Falcon, который ранее использовался для слежки за журналистами и активистами в ОАЭ в 2012 году. Но прямой связи с конкретной группировкой это пока не подтверждает.

Образцы Landfall загружали в VirusTotal пользователи из Марокко, Ирана, Ирака и Турции в течение 2024 и начале 2025 года. Вредонос позволяет собирать личные данные — фотографии, сообщения, контакты, историю звонков, отслеживать геолокацию и активировать микрофон. В коде также обнаружены упоминания различных моделей Samsung, включая серию Galaxy S22–S24 и некоторые устройства Galaxy Z.