To brzmi jak scenariusz filmu szpiegowskiego, ale wydarzyło się naprawdę. Analitycy z Unit 42, specjalnej jednostki ds. cyberbezpieczeństwa w Palo Alto Networks, ujawnili istnienie wysoce zaawansowanego systemu szpiegowskiego o nazwie „Landfall”.
Atak był wymierzony w telefony Samsung Galaxy i był aktywny przez prawie rok, zanim luka została załatana. Oprogramowanie pozwalało na kradzież praktycznie wszystkich danych z telefonu, a także na zdalne aktywowanie kamery i mikrofonu w celu szpiegowania użytkownika.
Atak typu zero-click, czyli broń w obrazku
Najbardziej niepokojący w ataku „Landfall” jest jego mechanizm. Był to atak typu zero-click, co oznacza, iż do infekcji nie była wymagana absolutnie żadna interakcja ze strony użytkownika – nie trzeba było klikać w żaden link ani niczego instalować.
Jak to działało?
- Dostawa: atakujący przesyłali ofierze (prawdopodobnie przez komunikator typu WhatsApp) specjalnie spreparowany plik graficzny.
- Przynęta: „bronią” nie był zwykły JPG, ale zmodyfikowany plik DNG – jest to format typu „raw” (surowy obraz) bazujący na formacie TIFF.
- Pułapka: wewnątrz tego pliku DNG hakerzy osadzili ukryte archiwum ZIP zawierające złośliwy kod.
- Luka: problem leżał w bibliotece przetwarzania obrazu w oprogramowaniu Samsunga.
Gdy telefon próbował przetworzyć ten plik (np. by wyświetlić jego miniaturkę w galerii lub komunikatorze), system operacyjny rozpakowywał ukryty plik ZIP i uruchamiał złośliwe oprogramowanie szpiegowskie.
Po zainfekowaniu, „Landfall” modyfikował polityki SELinux (mechanizm bezpieczeństwa w Androidzie), aby zakopać się głęboko w systemie, uzyskać szerokie uprawnienia i uniknąć wykrycia.
Kto był celem?
Analitycy z Unit 42 uspokajają, iż nie był to atak masowy. Wszystko wskazuje na to, iż „Landfall” był używany do precyzyjnie wymierzonych działań szpiegowskich, głównie na Bliskim Wschodzie (wskazano na Irak, Iran, Turcję i Maroko).
W kodzie złośliwego systemu znaleziono bezpośrednie odniesienia do konkretnych modeli Samsunga, w tym Galaxy S22, Galaxy S23, Galaxy S24, Galaxy Z Flip 4 oraz Galaxy Z Fold 4. Chociaż nie zidentyfikowano autorów ataku, jego złożoność i metody działania przypominają narzędzia tworzone przez komercyjne firmy zajmujące się cyberwywiadem, takie jak osławiona NSO Group (twórcy Pegasusa).
Sprawdź, czy jesteś bezpieczny
Luka (zarejestrowana jako CVE-2025-21042) była obecna w oprogramowaniu Samsunga opartym na Androidzie od 13 do 15. Producent wydał krytyczną poprawkę bezpieczeństwa w kwietniu 2025 roku.
Analitycy z Unit 42 wstrzymywali się z publikacją szczegółów ataku do teraz, aby dać użytkownikom czas na aktualizację. Teraz, gdy metoda jest publiczna, najważniejsze jest, aby każdy właściciel telefonu Samsung upewnił się, iż ma zainstalowane wszystkie aktualizacje systemu, a w szczególności łatkę bezpieczeństwa z kwietnia 2025 lub nowszą.
Jeśli artykuł Rok na celowniku. Oprogramowanie „Landfall” przez rok szpiegowało telefony Samsunga nie wygląda prawidłowo w Twoim czytniku RSS, to zobacz go na iMagazine.
