Експерти з кібербезпеки з підрозділу Unit 42 компанії Palo Alto Networks виявили небезпечне шпигунське програмне забезпечення під назвою Landfall, яке використовувало вразливість нульового дня в пристроях Samsung Galaxy.

Кампанія хакерів тривала майже рік — з липня 2024-го до квітня 2025 року, залишаючись при цьому непоміченою. Хакери розповсюджували шкідливість через спеціально створене зображення, що ймовірно надсилається за допомогою месенджерів.

Для зараження смартфона не потрібно жодних дій з боку власника — достатньо було просто отримати це зображення. Вразливість, зареєстрована під номером CVE-2025-21042, торкалася пристроїв з Android 13–15.

За словами дослідника Ітая Коена з Unit 42, Landfall використовувалося в прицільних атаках на окремих користувачів, ймовірно, з метою політичного стеження. Основна активність фіксувалася в Марокко, Ірані, Іраку та Туреччині. Турецький центр реагування на кіберінциденти USOM підтвердив наявність підозрілих IP-адрес, пов'язаних із цією шкідливістю.

Аналіз показав, що інфраструктура Landfall має схожі риси з рішеннями відомого угруповання Stealth Falcon, раніше причетного до атак на журналістів та правозахисників у країнах Близького Сходу. Однак прямих доказів участі конкретних державних структур поки що не знайдено.

Під удар потрапили моделі Galaxy S22, S23, S24, а також окремі пристрої серії Fold та Flip. Після зараження Landfall отримував повний контроль над пристроєм — доступ до фотографій, контактів, дзвінків, листування, мікрофону та геолокації користувача.