Specjaliści ds. cyberbezpieczeństwa z Unit 42 odkryli dotychczas nieznane zagrożenie mobilne o nazwie LANDFALL, które wykorzystuje podatność zero-day w urządzeniach Samsung Galaxy. Ten zaawansowany szpiegowski malware został zaprojektowany specjalnie do kompleksowej inwigilacji użytkowników telefonów z serii Galaxy, umożliwiając atakującym nagrywanie rozmów, śledzenie lokalizacji oraz kradzież danych osobowych.
Mechanizm infekcji przez złośliwe pliki DNG
Metoda dystrybucji LANDFALL opiera się na wykorzystaniu zmodyfikowanych plików obrazów w formacie DNG (Digital Negative), które zawierają ukryte archiwum ZIP z komponentami malware. Analiza nazw plików wskazuje, że atakujący prawdopodobnie wykorzystywali WhatsApp do rozprowadzania zainfekowanych obrazów, używając nazw takich jak « WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg » czy « IMG-20240723-WA0000.jpg ».
Podatność CVE-2025-21042 w bibliotece przetwarzania obrazów Samsung libimagecodec.quram.so umożliwiła wykonanie złośliwego kodu podczas otwierania pozornie niewinnych plików graficznych. Po pomyślnym wykorzystaniu luki, malware ekstraktuje dwa kluczowe komponenty : moduł ładujący b.so oraz manipulator polityk SELinux l.so. Samsung załatał tę krytyczną podatność w kwietniu 2025 roku, jednak kampania LANDFALL działała już od lipca 2024, pozostając niewykryta przez wiele miesięcy.
| Data pierwszego wykrycia | Nazwa pliku | Rozmiar |
|---|---|---|
| 23 lipca 2024 | IMG-20240723-WA0000.jpg | 5.65 MB |
| 27 sierpnia 2024 | WhatsApp Image 2024-08-27 at 11.48.40 AM.jpeg | 6.58 MB |
| 10 lutego 2025 | WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg | 6.66 MB |
Zaawansowane możliwości szpiegowskie LANDFALL
Komponent główny LANDFALL, określany wewnętrznie jako « Bridge Head », stanowi modułowy system szpiegowski zaprojektowany do kompleksowego monitoringu urządzeń Samsung Galaxy. Analiza kodu ujawniła rozległe możliwości inwigilacyjne, które obejmują zarówno pasywne zbieranie danych, jak i aktywne manipulowanie systemem operacyjnym Android.
System komunikacji z serwerami C2 wykorzystuje protokół HTTPS z niestandardowymi portami TCP, zapewniając szyfrowane połączenie dla przesyłania skradzionych danych. Malware targetuje konkretne modele urządzeń Samsung, w tym serie Galaxy S22, S23, S24 oraz składane modele Z Fold4 i Z Flip4. Ta selektywna strategia wskazuje na wysoce ukierunkowane operacje szpiegowskie prowadzone przez zaawansowanych adversaries.
Główne możliwości LANDFALL obejmują :
- Nagrywanie audio – przechwytywanie rozmów telefonicznych i dźwięków z mikrofonu
- Śledzenie lokalizacji – kontinualne monitorowanie pozycji geograficznej urządzenia
- Kradzież danych osobowych – dostęp do kontaktów, SMS-ów i historii połączeń
- Przechwytywanie zdjęć – kopiowanie obrazów z galerii i aparatu
- Manipulacja systemowa – modyfikacja polityk SELinux dla utrzymania dostępu
Infrastruktura serwerów dowodzenia LANDFALL
Analiza infrastruktury technicznej ujawniła sześć serwerów C2 wykorzystywanych przez operatorów LANDFALL do koordynowania ataków i odbierania skradzionych danych. Domeny takie jak brightvideodesigns[.]com, hotelsitereview[.]com czy healthyeatingontherun[.]com zostały zarejestrowane przez atakujących w celu zamaskowania rzeczywistego charakteru komunikacji.
Wzorce rejestracji domen wykazują podobieństwa do infrastruktury związanej z grupą Stealth Falcon, co sugeruje potencjalne powiązania z komercyjnymi dostawcami narzędzi szpiegowskich działającymi na Bliskim Wschodzie. Tureckie narodowe CERT (USOM) zidentyfikowało adresy IP używane przez LANDFALL jako złośliwe, potwierdzając aktywność ukierunkowaną na region.
Potencjalne ofiary kampanii LANDFALL zlokalizowano w Iraku, Iranie, Turcji i Maroku na podstawie danych telemetrycznych z VirusTotal. Ta geograficzna dystrybucja celów wskazuje na operacje szpiegowskie prowadzone przez podmioty zainteresowane monitoringiem aktywności w regionie Bliskiego Wschodu i Afryki Północnej.
Powiązania z komercjalnymi operatorami szpiegowskimi
Zaawansowana natura LANDFALL oraz wykorzystanie podatności zero-day sugerują komercyjny charakter tego narzędzia szpiegowskiego. Terminologia « Bridge Head » używana w debugowych artefaktach malware jest powszechnie stosowana przez prywatnych dostawców narzędzi ofensywnych, w tym NSO Group, Variston, Cytrox oraz Quadream.
Szczególne podobieństwa łączą LANDFALL z frameworkiem Heliconica rozwijanym przez barcelońską firmę Variston, która dostarczała narzędzia szpiegowskie klientom w Zjednoczonych Emiratach Arabskich przez pośrednika Protect Electronic Systems. Variston oficjalnie zakończyła działalność na początku 2025 roku po publicznym ujawnieniu jej operacji przez Google TAG.
Kampania LANDFALL stanowi część szerszego trendu wykorzystywania podatności w bibliotekach przetwarzania obrazów DNG na różnych platformach mobilnych. Apple załatało podobną lukę CVE-2025-43300 w sierpniu 2025 roku, podczas gdy Samsung naprawił dodatkową podatność CVE-2025-21043 we wrześniu 2025. Ta koordynowana aktywność wskazuje na systematyczne poszukiwanie i eksploatację vulnerabilities przez zaawansowane grupy APT.
- Android 16 QPR2 dostępny dla urządzeń Pixel z aktualizacją - décembre 5, 2025
- Samsung Galaxy S23 : problem z baterią po roku użytkowania - décembre 4, 2025
- Android 16 : AI w powiadomieniach i kontrola rodzicielska - décembre 3, 2025
