1 фото — и смартфон захвачен. Найден вирус, который годами шпионил за пользователями Samsung, эксплуатируя 0-day

Шпионское ПО нового поколения действовало почти год, скрываясь внутри смартфонов Samsung Galaxy и используя уязвимость, о которой производитель не знал. Исследователи из Palo Alto Networks Unit 42 сообщили, что вредонос под названием Landfall эксплуатировал критическую ошибку в библиотеке обработки изображений устройств Samsung и устанавливал полноценную систему наблюдения: она перехватывала звонки, отслеживала передвижения, копировала фотографии и системные журналы, не оставляя следов на экране. Проблему устранили лишь в апреле, когда компания выпустила обновление безопасности, закрывшее дыру CVE-2025-21042.

По данным аналитиков, заражения начались в июле 2024 года и затронули модели, работающие на Android 13–16. Уязвимость позволяла злоумышленникам отправлять специально подготовленные изображения, которые активировали вредонос без участия владельца — так называемая атака «нулевого касания». Для этого достаточно было, чтобы картинка попала на устройство через мессенджер или почтовый клиент, после чего процесс заражения происходил автоматически. Аналитики предполагают, что целью кампании были отдельные смартфоны в странах Ближнего Востока, включая Ирак, Иран, Турцию и Марокко, что указывает на тщательно продуманный характер операции.

Landfall относится к коммерческому классу шпионских инструментов, сопоставимых по функциональности с системами Pegasus или Predator. После установки он скрывался в системе, собирал идентификаторы устройства, контакты, переписку и мультимедийные файлы, а также мог записывать разговоры и передавать полученные данные на удалённые серверы. Архитектура вредоноса модульная: каждый компонент выполняет собственную задачу — от внедрения до выгрузки информации, что облегчает обновление и адаптацию под разные версии Android.

Исследователи обнаружили Landfall, когда анализировали цепочку других уязвимостей, связанных с обработкой изображений в мобильных системах. В августе 2025 года Apple устранила аналогичную ошибку в фреймворке ImageIO, которая позволяла выполнять произвольный код на устройствах iPhone и iPad. Почти одновременно Meta предупредила о сложных атаках через WhatsApp, где использовалась комбинация этого бага с ещё одним дефектом в мессенджере. В тот же период команда WhatsApp передала Samsung сведения о другой уязвимости, связанной с форматом DNG, и в сентябре корпорация закрыла брешь CVE-2025-21043.

Несмотря на сходство в механизмах эксплуатации, Unit 42 пока не нашла прямых доказательств того, что Landfall применялся совместно с этими тремя уязвимостями.

Предполагается, что все инциденты могли быть частью более масштабной волны атак, использующих ошибки в парсинге DNG-изображений для внедрения мобильных шпионов на разных платформах. Поскольку последние похожие цепочки эксплойтов фиксировались в августе и сентябре, можно считать, что активность этой серии кампаний продолжалась до самой осени 2025 года. Сейчас данных о продолжающемся использовании CVE-2025-21042 нет, но не исключают появления новых вариантов тех же методов в будущем.

Инфраструктура Landfall оказалась сходной с сетями, которые ранее связывали с группировкой Stealth Falcon. Её активность отслеживается с 2012 года, а жертвами в разное время становились журналисты, активисты и оппозиционные деятели из стран Персидского залива. Исследователи подчёркивают, что схожие доменные шаблоны и способы регистрации не дают оснований для окончательных выводов о принадлежности, но характер инструментария и качество реализации говорят о том, что у группы есть доступ к серьёзным ресурсам — скорее даже речь идёт о государственной структуре, чем о киберпреступниках.