1 фотография и ваш смартфон захвачен: Обнаружен новый опасный вирус, который годами шпионит за пользователями Samsung
Шпионское ПО нового поколения действовало уже почти год, скрываясь в смартфонах Samsung Galaxy и эксплуатируя уязвимость, о которой производитель не подозревал. Исследователи из Palo Alto Networks Unit 42 сообщили, что вредоносное ПО под названием Landfall использовало критическую ошибку в библиотеке обработки изображений устройств Samsung и установило полноценную систему наблюдения: перехватывает звонки, отслеживает перемещения, копирует фотографии и системные журналы, не оставляя следов на экране. Проблема была устранена только в апреле, когда компания выпустила обновление безопасности, закрывающее дыру CVE-2025-21042.
По данным аналитиков, заражение началось в июле 2024 года и затронуло модели с Android 13–16. Уязвимость позволяла злоумышленникам отправлять специально созданные изображения, которые активировали вредоносное ПО без участия владельца — так называемая атака «нулевого касания» (zero-click).
Достаточно было, чтобы изображение попало на устройство через мессенджер или почтовый клиент, после чего процесс заражения пошел автоматически. Аналитики предполагают, что кампания была нацелена на отдельные смартфоны в странах Ближнего Востока, включая Ирак, Иран, Турцию и Марокко, что указывает на сложный характер операции.
Landfall относится к коммерческому классу шпионских программ, сравнимых по функциональности с системами Pegasus или Predator. После установки программа прячется в системе, собирает идентификаторы устройств, контакты, файлы переписки и мультимедиа, может записывать разговоры и передавать данные на удаленные серверы. Архитектура вредоносного ПО модульная: каждый компонент выполняет свою задачу — от внедрения до загрузки информации, что позволяет легко обновлять и адаптироваться к различным версиям Android.
Исследователи обнаружили Landfall, анализируя цепочку других уязвимостей обработки изображений в мобильных системах. В августе Apple исправила аналогичную ошибку в фреймворке ImageIO, которая позволяла выполнять произвольный код на устройствах iPhone и iPad. Почти одновременно Meta предупредила о изощренных атаках через WhatsApp, в которых использовалась комбинация этого бага и еще одной уязвимости мессенджера. В тот же период команда WhatsApp передала компании Samsung информацию о еще одной уязвимости, связанной с форматом DNG, и в сентябре корпорация закрыла уязвимость CVE-2025-21043.
Несмотря на сходство механизмов эксплуатации, Unit 42 еще не нашел прямых доказательств того, что Landfall использовался в сочетании с этими тремя уязвимостями.
Предполагается, что все инциденты могут быть частью более крупной волны атак, в которых используются недостатки обработки изображений DNG для внедрения мобильного шпионского ПО на несколько платформ. Поскольку последние подобные цепочки эксплойтов были зафиксированы в августе и сентябре, можно предположить, что активность этой серии кампаний продолжалась незадолго до осени этого года. Данных о продолжении использования CVE-2025-21042 на данный момент нет, но не исключаем появления новых вариантов тех же методов в будущем.
Инфраструктура Landfall оказалась похожей на сети, ранее связанные с группой Stealth Falcon. За ее деятельностью следят с 2012 года, а ее жертвами в разное время становились журналисты, активисты и оппозиционеры из стран Персидского залива. Исследователи подчеркивают, что схожие шаблоны доменов и методы регистрации не дают оснований для однозначных выводов о принадлежности, но характер инструментов и качество исполнения позволяют предположить, что группировка имеет доступ к серьезным ресурсам – скорее правительственным ведомствам, чем киберпреступникам.
