Эксперты по кибербезопасности из подразделения Unit 42 компании Palo Alto Networks выявили опасное шпионское ПО под названием Landfall, которое использовало уязвимость нулевого дня в устройствах Samsung Galaxy.

Кампания хакеров продолжалась почти год — с июля 2024-го по апрель 2025 года, оставаясь при этом незамеченной. Хакеры распространяли вредонос через специально созданное изображение, предположительно отправляемое с помощью мессенджеров.

Для заражения смартфона не требовалось никаких действий со стороны владельца — достаточно было просто получить это изображение. Уязвимость, зарегистрированная под номером CVE-2025-21042, затрагивала устройства с Android 13–15.

По словам исследователя Итая Коэна из Unit 42, Landfall использовалось в прицельных атаках на отдельных пользователей, вероятно, с целью политического слежения. Основная активность фиксировалась в Марокко, Иране, Ираке и Турции. Турецкий центр реагирования на киберинциденты USOM подтвердил наличие подозрительных IP-адресов, связанных с этим вредоносом.

Анализ показал, что инфраструктура Landfall имеет схожие черты с решениями известной группировки Stealth Falcon, ранее причастной к атакам на журналистов и правозащитников в странах Ближнего Востока. Однако прямых доказательств участия конкретных государственных структур пока не найдено.

Под удар попали модели Galaxy S22, S23, S24, а также отдельные устройства серий Fold и Flip. После заражения Landfall получал полный контроль над устройством — доступ к фотографиям, контактам, звонкам, переписке, микрофону и геолокации пользователя.