Špijunski softver Landfall mjesecima koristio "zero-day" propust za špijuniranje Samsungovih uređaja
Istraživači Unita 42 otkrili su špijunski softver koji je koristio ranije neotkrivenu ranjivost u Samsungovoj obradi slika. Propust, koji je u međuvremenu ispravljen, iskorištavan je mjesecima prije službene zakrpe
Stručnjaci za kibernetičku sigurnost iz tvrtke Unit 42 (pod okriljem IT kompanije Palo Alto Networks) otkrili su dosad nepoznati soj špijunskog softvera za Android, nazvan Landfall. Utvrđeno je da je spyware bio korišten za napade na uređaje marke Samsung Galaxy, a koristio se u ciljanim aktivnostima na području Bliskog istoka. Landfall je napadačima omogućavao sveobuhvatan nadzor, uključujući snimanje zvuka pomoću mikrofona, praćenje lokacije te prikupljanje fotografija, kontakata i popisa poziva žrtava.
Napadi putem WhatsAppa
Za dostavu špijunskog softvera napadači su iskorištavali "zero-day" ranjivost (CVE-2025-21042) u Samsungovoj biblioteci za obradu slika. Landfall je bio ugrađen u zlonamjerno prerađene slikovne datoteke koje su, kako se čini, slane putem aplikacije WhatsApp. Istraživači napominju da nisu identificirali nikakve nepoznate ranjivosti u samom WhatsAppu.
Navedena ranjivost aktivno je iskorištavana u stvarnim situacijama prije nego što ju je Samsung zakrpao u travnju 2025., nakon prijava o napadima. Međutim, sam način eksploatacije i korišteni špijunski softver, koji se opisuje kao komercijalne kvalitete, do sada nisu bili javno analizirani. Smatra se da je lanac napada vjerojatno uključivao "zero-click" isporuku putem posebno izrađenih slika. Istraživanje pokazuje da je kampanja Landfall bila aktivna već sredinom 2024.
Rizik za korisnike
Ranjivost (CVE-2025-21042) zakrpana je u travnju 2025., stoga istraživači ističu da više ne postoji aktivan rizik za korisnike Samsungovih mobitela koji imaju ažuriran softver. U rujnu je Samsung također zakrpao i drugu spomenutu "zero-day" ranjivost (CVE-2025-21043) u istoj biblioteci za obradu slika, dodatno se štiteći od ove vrste napada.
Istraživanje Unita 42 pruža rijedak uvid u povijesnu eksploataciju i naprednu špijunsku operaciju koja je mjesecima ostala aktivna i neotkrivena. Zabilježeno je da kampanja dijeli infrastrukturne obrasce i tehnike s poznatim komercijalnim špijunskim operacijama na Bliskom istoku, što ne otkriva autore ovog spywarea, ali ukazuje na njihovu moguću povezanost s privatnim akterima s tog područja koji se bave razvojem takvih hakerskih alata.
