Новый Android-шпион атакует телефоны Samsung
Исследователи в области безопасности обнаружили новый Android-шпион, который в течение почти года целенаправленно атаковал смартфоны Samsung Galaxy. Специалисты из Unit 42 компании Palo Alto Networks впервые зафиксировали эту угрозу, получившую название “Landfall”, в июле 2024 года. Шпион использовал ранее неизвестную Samsung уязвимость типа “нулевого дня” в программном обеспечении телефонов Galaxy.
Согласно отчету Unit 42, для эксплуатации этой уязвимости достаточно было отправить жертве специально сформированное изображение, предположительно, через мессенджер. Примечательно, что для успешной атаки не требовалось никакого взаимодействия со стороны пользователя.
Samsung устранила данную уязвимость, отслеживаемую как CVE-2025-21042, в апреле 2025 года. Однако детали кампании по использованию этой бреши шпионским ПО ранее не публиковались.
Исследователи отмечают, что личность разработчика шпиона Landfall и точное число пострадавших остаются неизвестными. Тем не менее, предполагается, что атаки были направлены на жителей Ближнего Востока.
Итай Коэн, старший главный исследователь в Unit 42, пояснил, что данная кампания представляла собой “точно направленную атаку” на конкретных лиц, а не массовое распространение вредоносного ПО, что указывает на возможную шпионскую деятельность.
Unit 42 выявила, что шпион Landfall использует схожую цифровую инфраструктуру с известным поставщиком средств слежения Stealth Falcon. Эта компания ранее была замечена в атаках шпионским ПО против журналистов, активистов и диссидентов из ОАЭ еще с 2012 года. Несмотря на интригующие совпадения, имеющихся данных оказалось недостаточно для однозначного приписывания атак конкретному государственному заказчику.
Образцы шпиона Landfall, обнаруженные Unit 42, были загружены на VirusTotal (сервис сканирования на наличие вредоносного ПО) из Марокко, Ирана, Ирака и Турции в период с 2024 по начало 2025 года. Национальный центр кибербезопасности Турции (USOM) также пометил один из IP-адресов, с которыми связывался Landfall, как вредоносный, что подтверждает гипотезу о возможном таргетировании пользователей в Турции.
Как и другие государственные шпионские программы, Landfall обладает широкими возможностями мониторинга устройства: от доступа к пользовательским данным (фото, сообщения, контакты, история звонков) до перехвата аудио с микрофона и отслеживания точного местоположения.
В исходном коде шпиона были обнаружены упоминания пяти конкретных моделей телефонов Galaxy: S22, S23, S24, а также некоторых моделей серии Z. По словам Коэна, данная уязвимость могла затрагивать и другие устройства Galaxy, а также версии Android 13-15.
Комментарии
Комментариев пока нет.