Landfall malver napadao Samsung Galaxy telefone od jula 2024. do aprila 2025.
Istraživači iz Unit 42 kompanije Palo Alto Networks otkrili su sofisticiranu špijunsku operaciju pod nazivom Landfall, koja je gotovo godinu dana tiho kompromitovala Samsung Galaxy uređaje. Malver je iskorišćavao ranjivost u Samsungovom sistemu za obradu slika, omogućavajući napadačima pristup uređaju bez ikakve akcije korisnika – nije bilo potrebno ni dodirivanje ekrana ni otvaranje poruka.
Operacija je počela u julu 2024., oslanjajući se na ranjivost koja je kasnije označena kao CVE-2025-21042. Samsung je zakrpio propust tek u aprilu 2025., a puni detalji o načinu eksploatacije postali su javni tek nakon završetka istraživanja stručnjaka.
Opasnost od naizgled bezopasnih slika
U srcu napada nalazili su se DNG fajlovi, formati slika koji se obično smatraju bezopasnim. Napadači su u te fajlove ubacivali ZIP arhive sa malicioznim komponentama. Kada uređaj generiše preview slike, Samsungova ranjiva biblioteka automatski raspakuje ZIP i izvršava kod.
Ova metoda čini Landfall pravim zero-click exploitom, jer korisnik nije morao preduzimati nikakvu akciju da bi malver bio instaliran. Ovo naglašava rastući rizik od ranjivosti skrivenih u naizgled neškodljivim fajlovima.
Selektivno ciljanje u Bliskom istoku
Iako je Landfall izuzetno sofisticiran, bio je vrlo selektivan. Analiza pokazuje da je kampanja ciljala specifične mete u Bliskom istoku, uključujući Irak, Iran, Tursku i Maroko. Identitet napadača i dalje nije poznat.
Unit 42 je otkrio Landfall dok je istraživao druge zero-click ranjivosti koje su uticale na Apple iOS i WhatsApp. Sumnjivi fajlovi uploadovani na VirusTotal doveli su do identifikacije ovog malvera.
Modeli Galaxy telefona u riziku
Landfall je ciljao više Samsung Galaxy modela, uključujući S22, S23, S24, Z Flip 4 i Z Fold 4. Uređaji sa Androidom 13, 14 ili 15 bili su pogođeni. Nakon instalacije, malver je mogao da poveća privilegije, otežavajući detekciju.
Malver je imao pristup osetljivim podacima, uključujući kontakte, istoriju pretrage, sačuvane fajlove i listu instaliranih aplikacija. Mogao je čak da aktivira kameru i mikrofon uređaja radi tajnog nadzora. Potpuno uklanjanje zahtevalo je fabrički reset ili dubinsku popravku sistema.
Bezbednosne implikacije i zaštita korisnika
Iako dizajn Landfalla podseća na komercijalne špijunske alate, istraživači nisu povezali operaciju sa poznatim hakerskim grupama ili kompanijama. Iako je zakrpa dostupna od aprila 2025, uređaji koji nisu ažurirani i dalje su potencijalno ranjivi.
Korisnicima se snažno savetuje da odmah instaliraju najnovije ažuriranje softvera. Otkriće Landfalla podseća da moderni malveri mogu iskoristiti naizgled bezopasne fajlove i raditi potpuno neprimetno, bez znanja vlasnika uređaja.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.
BONUS VIDEO:
Ovaj kod otkriva da li vam prate telefon