LANDFALL: шпионское ПО, CVE‑2025‑21042 и атаки на Samsung — полное руководство
LANDFALL: как шпионское ПО почти год заражало Samsung через нулевой день CVE‑2025‑21042
1
0
Обнаружено Palo Alto Networks Unit 42. Узнайте, как работала атака, какие устройства затронуты и как защититься от шпионского ПО.
Почему эта история важна
Нулевые дни — критическая угроза мобильной безопасности. Уязвимости в библиотеках обработки изображений могут позволить злоумышленнику получить полный контроль над смартфоном. Samsung выпустила патч в апреле 2025 года.
Кто и как исследовал LANDFALL
- Исследование проведено Unit 42 (Palo Alto Networks)
- Обнаружены образцы с 2024 года, загруженные на VirusTotal пользователями из Марокко, Ирана, Ирака и Турции
- Метод анализа: статический и динамический разбор вредоносного кода
Технический разбор цепочки атаки
CVE‑2025‑21042
Уязвимость в библиотеке libimagecodec.quram.so позволяет переписать память вне буфера (OOB write), CVSS 8.8.
Механизм доставки
- DNG-файлы с внедрёнными .so-модулями
- Возможный нулевой клик через мессенджер (например, WhatsApp)
Действия LANDFALL на устройстве
- Сбор фотографий, сообщений, контактов и истории звонков
- Включение микрофона и отслеживание геолокации
- Удалённая передача данных на сервер C2
Целевые устройства и география атак
- Модели Samsung: Galaxy S22, S23, S24, Galaxy Z Fold/Flip
- Образцы на VirusTotal: Марокко, Иран, Ирак, Турция
Кто за этим может стоять
LANDFALL демонстрирует функционал коммерческого шпионского ПО, конкретная группа не установлена. Возможные мотивы: разведка, таргетинг персон, региональные цели.
Следствия для пользователей
Могли быть скомпрометированы личные данные, учётные записи и геолокация. Долгосрочные риски включают перехват учётных данных и целевое преследование.
Как проверить и защититься
- Установите последние обновления Samsung (патч апрель 2025)
- Не открывайте подозрительные файлы в мессенджерах
- Используйте антивирусы и проверяйте файлы через VirusTotal
- Управляйте разрешениями приложений, отключайте лишние сервисы
- Создавайте регулярные резервные копии и при необходимости выполняйте сброс к заводским настройкам
Технические индикаторы компрометации (IOCs)
Примеры файлов, хэши и домены C2 доступны в отчёте Unit 42. Рекомендуется проверять устройства по этим индикаторам.
Ответ производителей и регуляторов
- Samsung выпустила патчи в апреле 2025 года
- Мессенджеры и платформы сотрудничают с исследователями для устранения уязвимостей
Что это значит для корпоративной безопасности
- Риски для BYOD и корпоративных устройств
- Рекомендации: EDR для мобильных, мониторинг и минимизация прав приложений
Мировая практика реагирования на шпионское ПО
Прецеденты Pegasus и других коммерческих шпионских ПО показывают необходимость обновлений и превентивных мер на уровне государства и бизнеса.
Ключевые выводы
- Всегда устанавливайте обновления безопасности Samsung
- Будьте осторожны с открытием файлов из неизвестных источников
- Регулярно проверяйте мобильные устройства на наличие угроз
- Создавайте резервные копии и используйте шифрование
FAQ — Частые вопросы
- Может ли LANDFALL заразить iPhone?
- Нет доказательств — ориентирован на Samsung.
- Что такое DNG и почему изображение может быть опасно?
- DNG — формат RAW-фото, через встроенные модули может эксплуатировать уязвимости.
- Как понять, что телефон скомпрометирован?
- Необычная активность, повышенная нагрузка, странные файлы/сообщения. Полная проверка через антивирус или Unit 42 IOC.
- Стоит ли менять SIM-карту или аккаунты после заражения?
- Рекомендуется смена, особенно если есть подозрение на утечку данных.
- Как часто проверять обновления безопасности?
- Минимум раз в месяц, желательно включить автоматические обновления.
Защитите свой смартфон
Проверьте обновления Samsung и скачайте наш чек-лист по защите смартфона от шпионского ПО.
Источники и ссылки
