Что началось как серия замаскированных файлов изображений, в итоге раскрыло длительную операцию по слежке, которая продемонстрировала, насколько быстро эволюционируют угрозы для мобильных устройств. Хакеры смогли использовать единственный дефект в библиотеке обработки изображений, чтобы обойти традиционные границы безопасности, при этом пользователю не потребовалось совершать никаких действий.
На протяжении нескольких месяцев преступники проводили скрытую, но высокотехнологичную кампанию кибершпионажа, направленную против избранных пользователей Samsung Galaxy. Атака использовала такой изощрённый эксплуатационный код, что заражала устройства вообще без участия пользователя. Специалисты по безопасности компании Palo Alto Networks из подразделения Unit 42 раскрыли полные детали работы Landfall — коммерческого класса вредоноса, который активно использовал неисправленную уязвимость в Android-системе Samsung на протяжении большей части 2024 года и начала 2025 года.
Samsung устранила уязвимость (CVE-2025-21042) в своём апрельском обновлении безопасности 2025 года, но к тому времени она уже успела причинить значительный ущерб. Расследование Unit 42 выявило ограниченные, локализованные по регионам операции, сосредоточенные на Ближнем Востоке, хотя личности злоумышленников остались неизвестными.
Обнаружение Landfall стало одним из наиболее сложных zero-click эксплойтов для Android в последние годы. Цепь заражения началась с модифицированных цифровых файлов изображений — в частности, изменённых DNG-файлов, основанных на формате TIFF. В отличие от обычных DNG, файлы преступников содержали встроенные ZIP-архивы с вредоносными библиотеками общего использования, которые эксплуатировали нулевые уязвимости в компоненте обработки изображений Samsung. Эти файлы обрабатывались автоматически.
Когда заражённое изображение попадало на устройство, фоновый модуль рендеринга извлекал и выполнял скрытую нагрузку без какого-либо взаимодействия со стороны пользователя. Попав внутрь устройства, вредонос изменял политики SELinux, предоставляя себе расширенные привилегии для доступа к приватным данным и обхода изоляции приложений. Операторы Landfall получали возможность извлекать обширную информацию с телефонов, включая идентификаторы устройств, установленные приложения, контакты, структуру каталогов файлов и данные браузера. Программа могла даже удалённо активировать микрофоны и камеры.
Согласно анализу данных и отправкам в VirusTotal, изученным Unit 42, кампания затронула модели Galaxy линеек S22, S23, S24, а также складные устройства Z Flip 4 и Z Fold 4. Исследователи обнаружили сосредоточенные очаги инфекции в Ираке, Иране, Турции и Марокко, что указывает на осторожный отбор целей вместо массового распространения.
Unit 42 предполагает, что кампания началась после того, как исследователи, изучавшие отдельные нулевые уязвимости в iOS и WhatsApp, заметили закономерность в атаках, основанных на манипуляции изображениями. При анализе аналогичных артефактов на VirusTotal они обнаружили кластер повреждённых изображений, которые в итоге привели к идентификации Landfall.
Пусть личности операторов Landfall остаются неизвестны, анализ Unit 42 указывает на совпадения в стиле написания кода, наименовании серверов и поведении инфраструктуры, согласующиеся с вредоносным программным обеспечением, разработанным известными подрядчиками по слежке, такими как NSO Group и Variston. Исследователи воздержались от конкретной атрибуции, но отметили, что технические свидетельства указывают на коммерчески созданную платформу электронного шпионажа, а не на единовременный криминальный инструментарий. Вредонос включает меры по избеганию обнаружения, что свидетельствует о работе профессиональной команды разработчиков с доступом к значительным ресурсам.
Samsung подтвердила, что обновление от апреля 2025 года снижает уязвимость в версиях Android 13–15. Однако, поскольку Landfall способен изменять конфигурации уровня системы, его удаление остаётся сложной задачей даже после применения программного патча. Пользователи, которые не установили патч, остаются в риске подобных атак, если будущие злоумышленники переиспользуют уже открытый общественности эксплуатационный код.
Ещё по теме:
- Уволенный сотрудник Intel украл тысячи секретных файлов и скрылся
- Новый MacBook Pro с OLED-экраном может стать эксклюзивом для старших моделей
- Тренер НХЛ в отчаянии советуется с ChatGPT: «Калгари Флэймз» ищут выход из кризиса
