Treceți la conținutul principal

Programul spion comercial „Landfall” a făcut ravagii pe telefoanele Samsung timp de aproape un an

 


Încă o zi, un alt atac malware asupra smartphone-urilor. Cercetătorii de la Unit 42, divizia de informații despre amenințări a Palo Alto Networks, au dezvăluit un spyware sofisticat, cunoscut sub numele de „Landfall”, care vizează telefoanele Samsung Galaxy. Cercetătorii spun că această campanie a folosit o vulnerabilitate zero-day în software-ul Android de la Samsung pentru a fura o serie de date personale și a fost activă timp de aproape un an. Din fericire, vulnerabilitatea subiacentă a fost acum corectată, iar atacurile au fost cel mai probabil direcționate către grupuri specifice.

Unit 42 spune că Landfall a apărut pentru prima dată în iulie 2024, bazându-se pe o eroare software catalogată acum drept CVE-2025-21042. Samsung a lansat un patch pentru telefoanele sale în aprilie 2025, dar detaliile atacului au fost dezvăluite abia acum.

Chiar dacă ai fi explorat colțurile mai întunecate ale internetului în 2024 și începutul anului 2025 cu un dispozitiv Samsung Galaxy, este puțin probabil să fii infectat. Echipa crede că Landfall a fost folosit în Orientul Mijlociu pentru a viza persoane în scopul supravegherii. În prezent, nu este clar cine se află în spatele atacurilor.

Landfall este deosebit de viclean deoarece este ceea ce se numește un atac zero-click, care poate compromite un sistem fără implicarea directă a utilizatorului. Unitatea 42 a identificat Landfall doar din cauza a două erori similare care au fost remediate în Apple iOS și WhatsApp. Combinate, aceste două exploit-uri ar permite executarea de cod la distanță, așa că echipa a căutat exploit-uri care ar putea face acest lucru. Au găsit mai multe fișiere de imagine rău intenționate încărcate pe VirusTotal care au dezvăluit atacul Landfall.

Un fișier imagine tradițional este neexecutabil, dar anumite fișiere imagine pot fi malformate într-un mod care conține cod malițios. În cazul Landfall, atacatorii au folosit fișiere DNG modificate, un tip de fișier brut bazat pe formatul TIFF. În aceste fișiere DNG, actorii necunoscuți aveau arhive ZIP încorporate cu sarcini utile malițioase.

Înainte de patch-ul din aprilie 2025, telefoanele Samsung aveau o vulnerabilitate în biblioteca lor de procesare a imaginilor. Acesta este un atac zero-click, deoarece utilizatorul nu trebuie să lanseze nimic. Când sistemul procesează imaginea rău intenționată pentru afișare, extrage fișierele bibliotecii de obiecte partajate din fișierul ZIP pentru a rula spyware-ul Landfall. De asemenea, sarcina utilă modifică politica SELinux a dispozitivului pentru a oferi programului Landfall permisiuni extinse și acces la date.

Fișierele infectate par să fi fost livrate către ținte prin intermediul aplicațiilor de mesagerie precum WhatsApp. Unitatea 42 notează că codul Landfall face referire la mai multe telefoane Samsung specifice, inclusiv Galaxy S22, Galaxy S23, Galaxy S24, Galaxy Z Flip 4 și Galaxy Z Fold 4. Odată activ, Landfall contactează un server la distanță cu informații de bază despre dispozitiv. Operatorii pot extrage apoi o multitudine de date, cum ar fi ID-urile utilizatorilor și hardware-ului, aplicațiile instalate, contactele, orice fișiere stocate pe dispozitiv și istoricul de navigare. De asemenea, poate activa camera și microfonul pentru a spiona utilizatorul.

Eliminarea programului spyware nu este o sarcină ușoară. Datorită capacității sale de a manipula politicile SELinux, acesta poate pătrunde adânc în software-ul sistemului. De asemenea, include mai multe instrumente care ajută la evitarea detectării. Pe baza informațiilor transmise de VirusTotal, Unit 42 consideră că Landfall a fost activ în 2024 și începutul anului 2025 în Irak, Iran, Turcia și Maroc. Compania sugerează că vulnerabilitatea ar fi putut fi prezentă în software-ul Samsung de la Android 13 până la Android 15.

Unitatea 42 afirmă că mai multe scheme de denumire și răspunsuri ale serverelor au similarități cu programele spyware industriale dezvoltate de firme mari de cibersecuritate precum NSO Group și Variston. Cu toate acestea, acestea nu pot lega direct Landfall de niciun grup anume. Deși acest atac a fost foarte bine direcționat, detaliile sunt acum publice, iar alți actori amenințători ar putea folosi metode similare pentru a accesa dispozitivele neactualizate. Oricine deține un telefon Samsung compatibil ar trebui să se asigure că utilizează patch-ul din aprilie 2025 sau o versiune ulterioară.

Etichete:

Comentarii

Trimiteți un comentariu

Postări populare de pe acest blog

Containerizare nativă pe macOS: Apple lansează propriul „Distrobox”

  Editorial de: Andrei Popescu, Penguin Reviews În cadrul Conferinței Globale a Dezvoltatorilor (WWDC25), Apple a prezentat „Containerization” – un nou framework open‑source care aduce pe macOS, bazat pe Apple Silicon, un mecanism performant și sigur pentru rularea distribuțiilor Linux in containere, similar ideii de Distrobox sau WSL . 🔹 Ce este Containerization? Framework în Swift : scris integral într-un limbaj modern, se bazează pe Virtualization.framework și rulează fiecare container Linux într‑o mașină virtuală ultra‑ușoară , asigurând izolare completă la nivel de kernel . Performanţă ridicată : containerele pornesc în câteva milisecunde, folosind dinamic doar resursele necesare, datorită accelerării hardware oferite de cipurile ARM Apple . Protecție avansată : fiecare container rulează separat, eliminând riscurile asociate scăpărilor de procese între medii sau către sistemul gazdă . 🛠 Funcționalități cheie Funcționalitate Detalii Imagini OCI standard Compatibile c...
Trimiteți un comentariu
Citiți mai multe

Kali GPT: asistentul AI care transformă pentesting‑ul

  Editorial de: Elena Marinescu, Penguin Reviews Într‑o mișcare revoluționară pentru comunitatea de securitate cibernetică, XIS10CIAL a lansat Kali GPT , un asistent AI conceput special pentru Kali Linux, bazat pe GPT‑4, care integrează inteligența artificială direct în terminal, redefinind modul în care se realizează testele de penetrare . 🔍 Ce aduce Kali GPT? Integrare în terminalul Kali – Kali GPT înțelege comenzi în limbaj natural, generează payloads, interpretează scanări Nmap, configurează Metasploit și explică tool‑uri precum Burp Suite, fără să părăsești shell‑ul . Asistent contextual – adaptează răspunsurile în funcție de nivel (începători vs. experți), oferind explicații simplify sau tehnice avansate . Automatizare AI – generează comenzi, script‑uri și payloads, reduce erorile umane și accelerează ciclul pentesting‑ului . Beneficii clare Productivitate sporită – reducerea semnificativă a timpului de research și documentare Învățare accelerată – e...
Trimiteți un comentariu
Citiți mai multe

De ce Danemarca renunță la Microsoft Office și Windows în favoarea LibreOffice și Linux

  de Mihai Georgescu, editor colaborator Danemarca face un pas major în orientarea către suveranitatea digitală: sectorul public a început să înlocuiască Microsoft Office și Windows cu LibreOffice și distribuții Linux. Misunea este de a readuce controlul datelor în spațiul UE și de a diminua dependența de furnizori extra-comunitari. Motivele deciziei Guvernul danez a început tranziția pe baza a trei obiective prioritare: Suveranitate digitală – datele rămân sub control european, nu sunt transmise către servere non‑UE . Reducerea costurilor – eliminarea licențelor Microsoft și direcționarea fondurilor către dezvoltatori și companii locale. Securitate și interoperabilitate – standardizarea pe formate deschise (ODF) pentru o colaborare mai eficientă între instituții și cetățeni . Strategia de implementare Pilot gradual – implementări în etape, începând cu LibreOffice și Windows, urmate de trecerea la Linux — fără tranziția “brutală” în toate birourile deodată . Form...
Trimiteți un comentariu
Citiți mai multe