Ερευνητές ασφαλείας ανακάλυψαν ένα λογισμικό υποκλοπής Android που στόχευε τηλέφωνα Samsung Galaxy κατά τη διάρκεια μιας σχεδόν ενός έτους εκστρατείας hacking.
Ερευνητές στο Palo Alto Networks’ Unit 42 δήλωσαν ότι το spyware, το οποίο αποκαλούν “Landfall”, εντοπίστηκε για πρώτη φορά τον Ιούλιο του 2024 και βασίστηκαν στην εκμετάλλευση ενός ελαττώματος ασφαλείας στο λογισμικό του τηλεφώνου Galaxy που ήταν άγνωστο στη Samsung εκείνη την εποχή, ένα είδος ευπάθειας γνωστό ως zero-day.
Η ενότητα 42 είπε ότι το ελάττωμα θα μπορούσε να γίνει κατάχρηση με την αποστολή μιας κακόβουλα δημιουργημένης εικόνας στο τηλέφωνο ενός θύματος, που πιθανότατα παραδόθηκε μέσω μιας εφαρμογής ανταλλαγής μηνυμάτων, και ότι οι επιθέσεις μπορεί να μην απαιτούσαν καμία αλληλεπίδραση από το θύμα.
Samsung μπαλωμένο το ελάττωμα ασφαλείας — εντοπισμένο ως CVE-2025-21042 — τον Απρίλιο του 2025, αλλά λεπτομέρειες για την εκστρατεία spyware που καταχράται το ελάττωμα δεν έχουν αναφερθεί προηγουμένως.
Οι ερευνητές είπαν ότι δεν είναι γνωστό ποιος προμηθευτής παρακολούθησης ανέπτυξε το λογισμικό κατασκοπείας Landfall, ούτε είναι γνωστό πόσα άτομα στοχοποιήθηκαν ως μέρος της εκστρατείας. Ωστόσο, οι ερευνητές είπαν ότι οι επιθέσεις πιθανότατα στόχευαν άτομα στη Μέση Ανατολή.
Ο Itay Cohen, ανώτερος κύριος ερευνητής στη Μονάδα 42, είπε στο TechCrunch ότι η εκστρατεία hacking συνίστατο σε μια «επίθεση ακριβείας» σε συγκεκριμένα άτομα και όχι σε μαζικά διανεμόμενο κακόβουλο λογισμικό, κάτι που δείχνει ότι οι επιθέσεις πιθανότατα οφείλονταν σε κατασκοπεία.
Η ενότητα 42 διαπίστωσε ότι το λογισμικό κατασκοπείας Landfall μοιράζεται επικαλυπτόμενη ψηφιακή υποδομή που χρησιμοποιείται από έναν γνωστό προμηθευτή επιτήρησης που ονομάζεται Stealth Falconπου είχε προηγουμένως παρατηρηθεί σε επιθέσεις spyware εναντίον δημοσιογράφων, ακτιβιστών και αντιφρονούντων των Εμιράτων ήδη από το 2012. Ωστόσο, οι ερευνητές είπαν ότι οι δεσμοί με τον Stealth Falcon, αν και ενδιαφέρουσες, δεν ήταν αρκετοί για να αποδώσουν ξεκάθαρα τις επιθέσεις σε έναν συγκεκριμένο κυβερνητικό πελάτη.
Η ενότητα 42 ανέφερε ότι τα δείγματα λογισμικού κατασκοπείας Landfall που ανακάλυψαν είχαν μεταφορτωθεί στο VirusTotal, μια υπηρεσία σάρωσης κακόβουλου λογισμικού, από άτομα στο Μαρόκο, το Ιράν, το Ιράκ και την Τουρκία κατά τη διάρκεια του 2024 και στις αρχές του 2025.
Η εθνική ομάδα κυβερνο ετοιμότητας της Τουρκίας, γνωστή ως USOMεπισήμανε μια από τις διευθύνσεις IP με τις οποίες συνδέθηκε το λογισμικό κατασκοπείας Landfall ως κακόβουλο, κάτι που σύμφωνα με την ενότητα 42 υποστηρίζει τη θεωρία ότι άτομα στην Τουρκία μπορεί να έχουν στοχοποιηθεί.
Όπως και άλλα κυβερνητικά προγράμματα υποκλοπής, το Landfall είναι ικανό για ευρεία επιτήρηση συσκευών, όπως πρόσβαση στα δεδομένα του θύματος, συμπεριλαμβανομένων φωτογραφιών, μηνυμάτων, επαφών και αρχείων καταγραφής κλήσεων, καθώς και το πάτημα του μικροφώνου της συσκευής και την παρακολούθηση της ακριβούς τοποθεσίας του.
Η Ενότητα 42 διαπίστωσε ότι ο πηγαίος κώδικας του spyware ανέφερε ως στόχους πέντε συγκεκριμένα τηλέφωνα Galaxy, συμπεριλαμβανομένων των Galaxy S22, S23, S24 και ορισμένων μοντέλων Z. Ο Κοέν είπε ότι η ευπάθεια μπορεί να υπήρχε και σε άλλες συσκευές Galaxy και επηρέασε τις εκδόσεις Android 13 έως 15.
Η Samsung δεν απάντησε σε αίτημα για σχόλιο.
Via: techcrunch.com
