Исследователи из Unit 42 (Palo Alto Networks) сообщили о выявлении масштабной операции с использованием ранее неизвестного Android-шпионского ПО под названием LANDFALL.
Кампания, по данным отчёта, действовала как минимум с февраля 2025 года и была направлена на устройства Samsung, используя уязвимость нулевого дня CVE-2025-21042.
Заражение происходило через вредоносные изображения формата DNG (Digital Negative), которые распространялись в мессенджерах, включая WhatsApp. Достаточно было открыть полученный файл, чтобы вредоносный код активировался без дополнительных действий пользователя. После внедрения LANDFALL получал широкий набор прав, включая доступ к микрофону, камере, геолокации, переписке и хранилищу устройства.
Unit 42 классифицирует LANDFALL как «коммерческое шпионское ПО» (commercial-grade spyware) - программное обеспечение, созданное с использованием технологий, аналогичных инструментам профессиональных вендоров наступательной киберразведки. Исследователи нашли признаки, указывающие, что за кампанией может стоять одна из частных компаний, предоставляющих шпионские услуги государственным структурам.
Samsung устранила уязвимость CVE-2025-21042 в апрельском обновлении безопасности, а также закрыла смежный баг CVE-2025-21043 в сентябре. Однако, по оценке экспертов, злоумышленники могли эксплуатировать уязвимость как минимум несколько месяцев до выхода патча, что позволило им собрать значительные объёмы данных.
В Unit 42 подчёркивают, что инцидент демонстрирует растущую угрозу от коммерческих шпионских инструментов, которые становятся всё более доступными и технически сложными. Пользователям рекомендуется немедленно установить последние обновления безопасности, избегать загрузки медиафайлов из неизвестных источников и ограничить разрешения для приложений, имеющих доступ к личным данным.
Кампания, по данным отчёта, действовала как минимум с февраля 2025 года и была направлена на устройства Samsung, используя уязвимость нулевого дня CVE-2025-21042.
Заражение происходило через вредоносные изображения формата DNG (Digital Negative), которые распространялись в мессенджерах, включая WhatsApp. Достаточно было открыть полученный файл, чтобы вредоносный код активировался без дополнительных действий пользователя. После внедрения LANDFALL получал широкий набор прав, включая доступ к микрофону, камере, геолокации, переписке и хранилищу устройства.
Unit 42 классифицирует LANDFALL как «коммерческое шпионское ПО» (commercial-grade spyware) - программное обеспечение, созданное с использованием технологий, аналогичных инструментам профессиональных вендоров наступательной киберразведки. Исследователи нашли признаки, указывающие, что за кампанией может стоять одна из частных компаний, предоставляющих шпионские услуги государственным структурам.
Samsung устранила уязвимость CVE-2025-21042 в апрельском обновлении безопасности, а также закрыла смежный баг CVE-2025-21043 в сентябре. Однако, по оценке экспертов, злоумышленники могли эксплуатировать уязвимость как минимум несколько месяцев до выхода патча, что позволило им собрать значительные объёмы данных.
В Unit 42 подчёркивают, что инцидент демонстрирует растущую угрозу от коммерческих шпионских инструментов, которые становятся всё более доступными и технически сложными. Пользователям рекомендуется немедленно установить последние обновления безопасности, избегать загрузки медиафайлов из неизвестных источников и ограничить разрешения для приложений, имеющих доступ к личным данным.
