Denumită CVE-2025-21042 și cunoscută în cercurile de hacking sub numele spyware-ului LANDFALL, o vulnerabilitate majoră specifică telefoanelor Galaxy și aspectului Android, a fost trecută neobservată timp de peste un an. Acest lucru s-a întâmplat deoarece grupurile aflate în spatele acestor operațiuni de spionaj vizează exclusiv ținte de mare valoare, precum jurnaliști, politicieni și alte persoane a căror comunicare este interceptată la cel mai înalt nivel.
Potrivit terminologiei specializate, o vulnerabilitate de tip zero-day este una despre care nimeni nu are cunoștințe și care nu oferă dezvoltatorilor posibilitatea de a crea o soluție preventivă înainte ca sistemul sau aplicația atacată să fie vulnerabilă în mediul real. În cazul prezent, este vorba despre librăria (API-ul) de procesare a imaginilor Android dezvoltat de Samsung, responsabil pentru decodarea și editarea diferitelor formate de imagine, inclusiv cele specifice Samsung.
Mai precis, spyware-ul LANDFALL pătrundea pe dispozitivele țintelor prin simpla trimitere a unui fișier de imagine. După recepție, acesta activa automat, fără intervenția utilizatorului, procesul de instalare a aplicației de spionaj. Malware-ul LANDFALL era încorporat în fișiere imagine cu extensia DNG, modificate special și trimise prin WhatsApp. Conform Palo Alto Networks, LANDFALL a fost activ încă din mijlocul anului 2024, cu câteva luni înainte ca vulnerabilitatea să fie remediată.
Este de remarcat că Meta, administratorul WhatsApp, neagă implicarea în facilitarea răspândirii exploit-ului către dispozitivele Samsung. Conform companiei, nu există dovezi că rețeaua WhatsApp ar fi fost utilizată pentru propagarea aplicației de spionaj menționate mai sus, compania condusă de Mark Zuckerberg negând în totalitate existența unor astfel de atacuri.
Din informațiile disponibile public, setul de instrumente spyware cunoscut sub denumirea LANDFALL nu mai reprezintă o amenințare de la jumătatea anului trecut, deși o altă vulnerabilitate zero-day similară a fost eliminată de Samsung în septembrie. Denumită CVE-2025-21043, exploatabilitatea era legată tot de același API de procesare a imaginilor.
În ceea ce privește malware-ul menționat, acesta avea capacitatea de a înregistra sunetul de la microfon, monitoriza locația și captura fotografii utilizând camerele telefonului.
Itay Cohen, cercetător senior principal la Unitatea 42 din Palo Alto Networks, a declarat că atacul LANDFALL a fost țintit „către anumite persoane” și nu s-a răspândit pe scară largă, indicând faptul că a fost un instrument de nivel superior destinat clienților cu resurse financiare semnificative, cum ar fi actorii statali sau companiile dispuse să investească considerabil pentru a susține operațiuni de spionaj industrial.
Legătura directă între spyware-ul LANDFALL și dispozitivele Samsung se explică prin faptul că telefoanele Samsung sunt echivalentul iPhone pentru utilizatorii de Android. Astfel, dacă suspectezi că ești vizat, cel mai sigur este să eviți telefoane standard și să adopți măsuri de protecție suplimentare, pentru a nu te pierde în mulțime.
Se pare că operațiunile de spionaj cu spyware-ul LANDFALL au fost centrate în special pe ținte din Orientul Mijlociu, inclusiv în Turcia, Iran, Irak și Maroc. De aici putem deduce, cu o anumită acuratețe, naționalitatea inițiatorilor acestor exploituri, însă lăsăm cititorii să formuleze propriile opinii în acest sens.