„Landfall” — nowy spyware atakujący smartfony Galaxy przez zainfekowane pliki DNG
Nowe odkrycie Palo Alto Networks ujawnia, że prywatny dostawca narzędzi ofensywnych wykorzystywał lukę w systemie Samsunga, by infekować telefony Galaxy za pomocą spreparowanych plików DNG.
Nowy spyware Landfall pokazuje, jak proste pliki multimedialne mogą stać się narzędziem zaawansowanej inwigilacji — wystarczy otworzyć zdjęcie, by stracić kontrolę nad telefonem.
Oprogramowanie pozwalało atakującym nagrywać rozmowy, śledzić lokalizację, robić zdjęcia, kraść kontakty i dane z telefonu. Infekcja następowała po otwarciu specjalnie przygotowanego pliku DNG — najczęściej wysyłanego przez WhatsApp. Luka odpowiadająca za wektor ataku to CVE-2025-21042, którą Samsung załatał w kwietniu 2025 roku.
Według analizy Palo Alto Networks (Unit 42) ataki celowały w użytkowników Galaxy S22, S23 i S24 w Iraku, Iranie, Turcji i Maroku. Landfall miał modułową budowę zoptymalizowaną pod nowoczesne telefony i rozbudowane możliwości fingerprintingu, eksfiltracji danych oraz pobierania dodatkowych ładunków. Wyposażono go też w liczne mechanizmy unikania analizy — wykrywał debuggery i narzędzia inżynierii wstecznej — oraz funkcje eskalacji uprawnień, co utrudniało jego usunięcie.
Badacze zidentyfikowali co najmniej sześć serwerów C2 powiązanych z kampanią; część infrastruktury pokrywa się z serwerami używanymi w kampaniach przypisywanych Stealth Falcon, choć bez bezpośredniego potwierdzenia powiązania z jakimkolwiek państwem. Eksperci ostrzegają, że to kolejny przykład komercyjnego spyware’a wykorzystywanego do inwigilacji dziennikarzy, aktywistów i wybranych osób.
