По информации аналитиков, заражение происходило посредством специально подготовленного изображения, которое отправлялось через мессенджеры. Основной особенностью этой угрозы является то, что для компрометации устройства не требовалось никаких действий со стороны пользователя. Уязвимость имеет идентификатор CVE-2025-21042. Несмотря на то, что Samsung выпустила обновление для устранения проблемы, компания не стремится раскрывать подробности инцидента.
Неизвестным остается как разработчик вредоносного ПО, так и масштаб атак. Однако, по оценкам Unit 42, география потенциальных жертв сосредоточена на Ближнем Востоке, что может указывать на целенаправленность операции с разведывательными целями. Аналитики также обнаружили, что часть инфраструктуры Landfall пересекается с проектом Stealth Falcon, который использовался в 2012 году для наблюдения за активистами и журналистами в Объединенных Арабских Эмиратах. Однако на данный момент нет прямых улик, указывающих на конкретную группу, стоящую за этой кибератакой.
Согласно данным VirusTotal, образцы вредоносного ПО загружали пользователи из Марокко, Ирана, Ирака и Турции в течение 2024–2025 годов. Функции Landfall позволяют собирать фотографии, сообщения, контакты и историю вызовов, а также отслеживать местоположение и активировать микрофон устройства удаленно. В исходном коде вируса найдены упоминания о различных устройствах Samsung, включая флагманские модели Galaxy S22, S23 и S24, а также некоторые складные версии Galaxy Z.
Источник: www.gazeta.ru