Безопасники обнаружили шпионское ПО для Android под названием «Landfall», которое на протяжении почти года атаковало телефоны Samsung Galaxy. Это ПО использовало неизвестную на тот момент уязвимость — так называемую уязвимость нулевого дня — в программном обеспечении смартфонов Samsung.
Атака происходила через специально подготовленное изображение, которое отправлялось жертве, скорее всего, через мессенджер. Для заражения не требовалось никаких действий со стороны пользователя. Samsung исправила эту уязвимость в апреле 2025 года (идентификатор CVE-2025-21042), но детали самой кампании не раскрывались ранее.
Исследователи отмечают, что это была точечная атака на конкретных лиц, а не масштабное распространение вредоносного ПО, что указывает на шпионские цели. Предполагается, что жертвами были люди из стран Ближнего Востока.
«Landfall» использует общую цифровую инфраструктуру с известным шпионским ПО под названием Stealth Falcon, которое раньше применялось против журналистов и активистов в Эмиратах. Однако точная принадлежность к какой-либо государственной структуре пока не установлена.
Образцы «Landfall» были загружены на сервис для проверки вредоносных программ с IP-адресов из Марокко, Ирана, Ирака и Турции. Национальная киберкоманда Турции определила один из IP-адресов как вредоносный, что подтверждает версию о возможных атаках на пользователей в Турции.
Функционал «Landfall» позволяет получать доступ к фотографиям, сообщениям, контактам, журналам звонков, а также прослушивать микрофон и отслеживать точное местоположение устройства.
Исследователи обнаружили, что в исходном коде шпионского ПО упоминались пять моделей Samsung Galaxy, включая S22, S23, S24 и некоторые модели серии Z. Уязвимость могла затрагивать и другие устройства Samsung на Android версий 13–15.
