Drošības pētnieki ir atklājuši Android spiegprogrammatūru, kuras mērķauditorija bija Samsung Galaxy tālruņi gandrīz gadu ilgas hakeru kampaņas laikā.
Pētnieki no Palo Alto Networks 42. nodaļas sacīja, ka spiegprogrammatūra, ko viņi sauc par “Landfall”, pirmo reizi tika atklāta 2024. gada jūlijā un balstījās uz Galaxy tālruņa programmatūras drošības nepilnības izmantošanu, kas Samsung tolaik nebija zināma — ievainojamības veids, kas pazīstams kā nulles diena.
42. nodaļa teica, ka defekts var tikt ļaunprātīgi izmantots, nosūtot uz upura tālruni ļaunprātīgi veidotu attēlu, kas, iespējams, tika piegādāts, izmantojot ziņojumapmaiņas lietotni, un ka uzbrukumiem, iespējams, nebija nepieciešama upura mijiedarbība.
Samsung aizlāpīts drošības trūkums, kas izsekots kā CVE-2025-21042, 2025. gada aprīlī, taču informācija par spiegprogrammatūras kampaņu, kas ļaunprātīgi izmanto šo trūkumu, iepriekš netika ziņots.
Pētnieki teica, ka nav zināms, kurš novērošanas pārdevējs ir izstrādājis Landfall spiegprogrammatūru, kā arī nav zināms, cik daudz cilvēku tika mērķēti kampaņas ietvaros. Taču pētnieki teica, ka uzbrukumi, visticamāk, bija vērsti uz personām Tuvajos Austrumos.
Itay Cohen, 42. nodaļas vecākais pētnieks, teica TechCrunch, ka uzlaušanas kampaņa sastāvēja no “precīza uzbrukuma” konkrētām personām, nevis masveidā izplatītas ļaunprātīgas programmatūras, kas norāda, ka uzbrukumus, iespējams, izraisīja spiegošana.
42. nodaļā tika konstatēts, ka Landfall spiegprogrammatūrai ir kopīga digitālā infrastruktūra, kas pārklājas, ko izmanto zināms novērošanas pakalpojumu sniedzējs. Stealth Falconkas iepriekš tika novērots spiegprogrammatūras uzbrukumos pret Emirātu žurnālistiem, aktīvistiem un disidentiem jau 2012. gadā. Taču pētnieki teica, ka saiknes ar Stealth Falcon, lai arī tās bija intriģējošas, nebija pietiekamas, lai uzbrukumus varētu skaidri attiecināt uz konkrētu valdības klientu.
42. nodaļa teica, ka viņu atklātie spiegprogrammatūras paraugi Landfall tika augšupielādēti ļaunprātīgas programmatūras skenēšanas pakalpojumā VirusTotal no personām Marokā, Irānā, Irākā un Turcijā 2024. gada un 2025. gada sākumā.
Turcijas nacionālā kibergatavības komanda, kas pazīstama kā USOMatzīmēja vienu no IP adresēm, ar kuru spiegprogrammatūra Landfall ir pieslēgta kā ļaunprātīga, un 42. nodaļa apstiprināja teoriju, ka Turcijā varētu būt mērķētas personas.
Līdzīgi kā citas valdības spiegprogrammatūras, Landfall spēj veikt plašu ierīces uzraudzību, piemēram, piekļūt upura datiem, tostarp fotoattēliem, ziņām, kontaktiem un zvanu žurnāliem, kā arī pieskarties ierīces mikrofonam un izsekot precīzai viņu atrašanās vietai.
42. nodaļā tika konstatēts, ka spiegprogrammatūras pirmkods kā mērķi min piecus konkrētus Galaxy tālruņus, tostarp Galaxy S22, S23, S24 un dažus Z modeļus. Koens sacīja, ka ievainojamība varēja būt arī citās Galaxy ierīcēs un ietekmēja Android versijas 13–15.
Samsung neatbildēja uz komentāru pieprasījumu.
