Spyware Landfall używało luki dnia zerowego do złamania smartfonów Samsung

Zespół bezpieczeństwa cybernetycznego Unit 42 z Palo Alto Networks odkrył niebezpieczne oprogramowanie szpiegowskie o nazwie Landfall, które wykorzystywało lukę dnia zerowego w smartfonach Samsung Galaxy. Kampania hakerska trwała prawie rok, począwszy od lipca 2024 roku, i pozostawała niezauważona do kwietnia 2025 roku.

Co wiadomo

Atak był przeprowadzany poprzez wysyłanie specjalnie stworzonego obrazu, najprawdopodobniej za pomocą aplikacji do przesyłania wiadomości. Zainfekowanie urządzenia nastąpiło bez udziału użytkownika — wystarczyło jedynie otrzymać obraz. Luka otrzymała kod CVE-2025-21042 i dotyczyła wersji Android 13–15.

Według Itaya Cohena z Unit 42, Landfall był używany w „ataki punktowe” przeciwko pojedynczym osobom, prawdopodobnie w celu szpiegostwa politycznego. Najwięcej przypadków odnotowano w Maroku, Iranie, Iraku i Turcji. Turecka cyberdruzyna USOM potwierdziła obecność podejrzanych adresów IP, z którymi łączył się Landfall.

Badacze odkryli, że infrastruktura Landfall ma wspólne cechy z dobrze znanym dostawcą oprogramowania szpiegowskiego Stealth Falcon, który wcześniej atakował dziennikarzy i aktywistów na Bliskim Wschodzie. Jednakże nie ma obecnie wyraźnych dowodów na zaangażowanie konkretnej struktury rządowej.

Landfall celował w urządzenia Galaxy S22, S23, S24, a także niektóre modele z serii Fold i Flip. Oprogramowanie miało pełny dostęp do urządzenia: zdjęcia, kontakty, połączenia, wiadomości, mikrofon i geolokacja.

Źródło: Palo Alto Networks Unit 42