Před opravou z dubna 2025 měly telefony Samsung chybu ve své knihovně pro zpracování obrazu. Jedná se o útok typu zero-click, protože uživatel nemusí nic spouštět. Když systém zpracuje škodlivý obrázek pro zobrazení, extrahuje soubory sdílené knihovny objektů ze ZIP, aby spustil spyware Landfall. Užitná zátěž také upravuje politiku SELinux zařízení, aby Landfall poskytla rozšířená oprávnění a přístup k datům.
Jak Landfall využívá telefony Samsung.
Kredit: Unit 42
Zdá se, že infikované soubory byly doručeny cílům prostřednictvím aplikací pro zasílání zpráv, jako je WhatsApp. Jednotka 42 poznamenává, že kód Landfall odkazuje na několik konkrétních telefonů Samsung, včetně Galaxy S22, Galaxy S23, Galaxy S24, Galaxy Z Flip 4 a Galaxy Z Fold 4. Jakmile je Landfall aktivní, osloví vzdálený server se základními informacemi o zařízení. Operátoři pak mohou extrahovat velké množství dat, jako jsou ID uživatelů a hardwaru, nainstalované aplikace, kontakty, jakékoli soubory uložené v zařízení a historie procházení. Může také aktivovat kameru a mikrofon pro špehování uživatele.
Odstranění spywaru také není snadný úkol. Díky své schopnosti manipulovat se zásadami SELinuxu se může hluboce zavrtat do systémového softwaru. Obsahuje také několik nástrojů, které pomáhají vyhnout se detekci. Na základě příspěvků VirusTotal se Unit 42 domnívá, že Landfall byl aktivní v roce 2024 a začátkem roku 2025 v Iráku, Íránu, Turecku a Maroku. Tato zranitelnost mohla být přítomna v softwaru společnosti Samsung od Androidu 13 až po Android 15, společnost navrhuje.
Unit 42 říká, že několik schémat pojmenování a odpovědí serverů sdílí podobnosti s průmyslovým spywarem vyvinutým velkými společnostmi zabývajícími se kybernetickou inteligencí, jako jsou NSO Group a Variston. Nemohou však přímo spojit Landfall s žádnou konkrétní skupinou. I když byl tento útok vysoce cílený, podrobnosti jsou nyní otevřené a další aktéři hrozeb by nyní mohli používat podobné metody pro přístup k nepatchovaným zařízením. Každý, kdo má podporovaný telefon Samsung, by se měl ujistit, že má opravu z dubna 2025 nebo novější.
