Исследователи обнаружили Landfall — коммерческое шпионское ПО, которое атакует смартфоны Samsung Galaxy через файлы DNG в WhatsApp.

Представьте себе, что вы получили обычную фотографию от друга в WhatsApp. Не кликаете, файл не скачиваете, ничего подозрительного не устанавливаете. И тем не менее, ваш смартфон теперь становится полноценным инструментом наблюдения, записывая разговоры, отслеживая местоположение, крадя пароли и документы. Похоже на сценарий из голливудского шпионского триллера? К сожалению, это реальность, с которой уже почти год бьются пользователи флагманских смартфонов Galaxy от Samsung.

Landfall — коммерческое шпионское ПО, которое уже почти год использует критическую уязвимость в смартфонах Samsung Galaxy, заражая устройства через вредоносные изображения, отправленные в WhatsApp, без какого-либо взаимодействия с пользователем.

Ваша игровая мышь может вас подслушивать. Датчики PixArt PAW3395 и PAW3399 угрожают конфиденциальности пользователей

Исследователи безопасности только что раскрыли подробности шпионской кампании с использованием передового программного обеспечения, которое они называют Landfall. Это открытие поднимает неприятные вопросы не только о безопасности мобильных устройств, но и о масштабах рынка коммерческого цифрового наблюдения. Исследовательская группа Unit 42 из Palo Alto Networks обнаружила в базе данных VirusTotal серию вредоносных файлов DNG (Digital Negative). Их имена указывали на WhatsApp, а внутри было модульное шпионское ПО. Landfall использовал CVE-2025-21042 в библиотеке libimagecodec.quram.so, компоненте обработки изображений в Android от Samsung. Поскольку система автоматически обрабатывала полученное изображение, эксплойт запускал скрытые файлы и изменял политику SELinux, предоставляя себе расширенные привилегии.

Северокорейские хакеры используют EtherHiding, скрывая вредоносное ПО в смарт-контрактах Ethereum и BNB Smart Chain

Это классическая атака с нулевым щелчком мыши. Подобно злоумышленнику с отмычкой, Landfall не требовал от жертвы никаких действий. Все, что требовалось, — это чтобы WhatsApp получил и обработал файл. Пользователю даже не пришлось открывать сообщение. Шпионские возможности были впечатляющими. Он включал запись с микрофона и камеры, отслеживание местоположения по GPS, кражу контактов, текстовых сообщений, истории звонков, файлов и истории браузера. Основной компонент Bridge Head загрузил последующие модули с шести идентифицированных серверов C2. Вредоносное ПО было чрезвычайно стойким, и его было трудно удалить. Первые образцы появились в июле 2024 года, последние — в феврале 2025 года. Samsung исправила уязвимость только в апреле 2025 года, почти через десять месяцев после того, как уязвимость была впервые обнаружена. Целью атаки были Galaxy S22, S23, S24, Z Flip 4 и Z Fold 4 под управлением Android 13–15. Жертвы были обнаружены в основном в Ираке, Иране, Турции и Марокко, что позволяет предположить спонсируемые государством целевые разведывательные операции.

Утечка данных Sky-Shop.pl затронула 9 тысяч польских интернет-магазинов. Украдены хэши паролей и личные данные клиентов

Инфраструктура C2 имеет сходство с связанной с Объединенными Арабскими Эмиратами группой Stealth Falcon. Landfall использует термин «Bridge Head», номенклатуру, типичную для коммерческих поставщиков шпионского ПО, таких как NSO Group (производители Pegasus), Variston и Cytrox. Это свидетельство растущего рынка коммерческого кибернаблюдения. Для пользователей последствия очевидны. Даже осторожное поведение не может защитить от эксплойта с нулевым щелчком мыши. К счастью, Landfall использовался только в этих целевых атаках, а не в массовых кампаниях. Однако в сентябре 2025 года Samsung исправила еще одну аналогичную уязвимость (CVE-2025-21043), которая указывает на проблемы с качеством кода системной библиотеки изображений. Каждый владелец Galaxy должен немедленно проверить обновления. Единственная эффективная защита — патчи, выпущенные за апрель 2025 г. или новее.