Исследователи кибербезопасности из Palo Alto Networks Unit 42 раскрыли детали одной из самых изощренных мобильных угроз последних лет — шпионской программы Landfall, которая эксплуатировала уязвимость нулевого дня в устройствах Samsung Galaxy. Особенность этой атаки заключалась в использовании инновационной техники заражения через модифицированные файлы изображений, что позволяло обходить традиционные механизмы защиты без какого-либо взаимодействия с пользователем.
Технический анализ показал, что хакеры манипулировали файлами DNG на основе формата TIFF, внедряя в них скрытые ZIP-архивы с вредоносными библиотеками. При получении такого изображения системный компонент Samsung автоматически извлекал и исполнял вредоносный код, используя уязвимость CVE-2025-21042 в библиотеках анализа изображений. Этот метод обеспечивал полную невидимость атаки — пользователям даже не требовалось открывать файл или подтверждать какие-либо действия.
Данное шпионское ПО имеет высочайший уровень сложности. Оно модифицировало политики безопасности SELinux, получая расширенные привилегии для доступа к конфиденциальным данным и обхода защитной "песочницы". Landfall предоставлял операторам широкий спектр возможностей: от извлечения идентификаторов устройств, контактов и истории браузера до удаленной активации микрофонов и камер, превращая смартфон в полноценное средство слежения.
Географический анализ инфекции выявил целенаправленный характер атаки. Основная активность была сосредоточена на Ближнем Востоке, с наибольшей концентрацией в Ираке, Иране, Турции и Марокко. Исследователи обнаружили следы заражения на моделях Galaxy от S22 до S24, включая складные устройства Z Flip 4 и Z Fold 4, что свидетельствует о тщательном планировании атак на конкретных владельцев, а не о массовом распространении.
Samsung оперативно отреагировала на угрозу, выпустив патч в апрельском обновлении безопасности 2025 года. Однако эксперты отмечают серьезную проблему: даже после установки обновления полностью удалить шпионское ПО крайне сложно из-за его способности изменять системные конфигурации. Пользователи, не установившие патч, остаются уязвимыми для повторных атак с использованием того же эксплойта.
Особую озабоченность специалистов вызывает профессиональный уровень разработки Landfall. Анализ стиля кодирования, именования серверов и поведения инфраструктуры указывает на возможную связь с известными подрядчиками в области слежения, такими как NSO Group и Variston. Наличие средств обхода уязвимостей и сложная архитектура эксплойта свидетельствуют о наличии профессиональной команды разработчиков с доступом к значительным ресурсам.
Этот случай демонстрирует тревожную эволюцию мобильных угроз — от массового мошенничества к целевым атакам с использованием сложных эксплойтов. Компаниям и частным пользователям необходимо пересмотреть подходы к безопасности, уделяя особое внимание своевременной установке обновлений и использованию комплексных решений для защиты мобильных устройств, особенно при работе с конфиденциальной информацией.
