В течение почти года вредоносное программное обеспечение под кодовым названием Landfall осуществляло несанкционированный сбор данных с мобильных устройств Samsung Galaxy, эксплуатируя уязвимость в операционной системе Android. Исследовательская группа Unit 42, входящая в состав Palo Alto Networks, установила, что заражённые смартфоны подвергались утечке конфиденциальной информации, включая текстовые сообщения, фотографические данные, аудиозаписи с встроенного микрофона, данные о телефонных вызовах и геолокационные данные.
Распространение вредоносного ПО осуществлялось через специально подготовленные графические файлы, которые автоматически инфицировали устройства при их получении. Пользователь не был обязан предпринимать никаких дополнительных действий для активации вредоносного кода. Первые случаи заражения были зафиксированы в июле 2024 года, однако компания Samsung выпустила патч для устранения уязвимости лишь в апреле 2025 года.
Читайте также
Исследователь Итай Коэн особо отметил, что атаки с использованием Landfall носили целенаправленный характер, ориентируясь на конкретных индивидуумов, а не имели массового распространения.
Вредоносная программа обладала функционалом для кражи фотографических данных, текстовых сообщений, контактной информации, данных о телефонных вызовах, активации микрофона и отслеживания геолокации. Злоумышленники использовали платформу VirusTotal для распространения вредоносного ПО, применяя IP-адреса, зарегистрированные в Марокко, Иране, Ираке и Турции. Один из турецких IP-адресов был классифицирован как вредоносный группой USOM.
Анализ исходного кода вредоносной программы выявил, что она была специально разработана для устройств с серийными номерами S22, S23, S24 и некоторых моделей из серии Z. Уязвимость также потенциально могла затрагивать другие устройства Samsung, оснащённые операционной системой Android версий 13–15. На текущий момент компания Samsung не предоставила официального комментария по результатам проведённого расследования, пишет источник.