Samsung Galaxy подверглись точечным кибератакам с разведывательным ПО Landfall

По данным TechCrunch, исследователи безопасности выявили вредоносную программу, которая целенаправленно атаковала устройства на платформе Android, включая Samsung Galaxy. Спецслужбы Palo Alto Networks’ Unit 42 обнаружили, что вредоносное ПО, названное Landfall, использовало нулевой день — уязвимость в программном обеспечении Galaxy, о которой производитель не знал на момент атаки. Впервые угроза была зафиксирована в июле 2024 года.

Атака могла быть запущена посредством отправки специально сформированного изображения, вероятно, через мессенджер. При этом жертва могла не знать о заражении, поскольку взаимодействие со стороны пользователя не требовалось. Уязвимость, получившая обозначение CVE-2025-21042, была устранена Samsung в апреле 2025 года. Однако до настоящего времени о масштабах и деталях кампании не сообщалось.

Характер атак и возможные цели

Исследования показали, что Landfall не распространялся массово, а использовался в точечных атаках, что указывает на возможное участие в ней разведывательных структур. Цели, скорее всего, находились в Среднем Востоке. Вредоносное ПО способно к широкомасштабной разведке: оно может получать доступ к контактам, фотографиям, звонкам, текстовым сообщениям, записям микрофона и даже отслеживать геолокацию устройства.

Среди целевых устройств были выявлены модели Galaxy S22, S23, S24 и Z-серии, а также устройства с версиями Android 13–15. Хотя вредоносное ПО могло затрагивать и другие Galaxy-устройства, точное число заражённых неизвестно. Развитие угрозы подтверждается тем, что образцы Landfall загружали пользователи из Марокко, Ирана, Ирака и Турции в 2024–2025 годах.

Связи с другими инцидентами

Unit 42 отметила, что Landfall использует инфраструктуру, ранее связанную с Stealth Falcon, известным поставщиком вредоносных программ. Эта компания участвовала в атаках на журналистов и правозащитников в ОАЭ ещё с 2012 года. Однако исследователи не связывают Landfall напрямую с конкретным государственным заказчиком.

Один из IP-адресов, связанных с Landfall, был обнаружен турецкой национальной командой по кибербезопасности USOM, что подтверждает гипотезу о возможной заинтересованности в атаках на граждан этой страны.

Потенциальные риски для бизнеса

Для организаций, работающих с высокой степенью конфиденциальности, особенно в регионах, где Landfall активен, актуален вопрос контроля за мобильными устройствами сотрудников. Эксперты рекомендуют внедрять стратегии аудита и мониторинга мобильных активов, включая использование корпоративных политик безопасности и регулярное обновление ПО.

Интересно: Как обеспечить защиту корпоративной информации, если угроза приходит через личное устройство сотрудника, и как оценить риски в условиях ограниченной прозрачности источников атак?

Когда безопасность смартфонов становится стратегическим вопросом

Атака Landfall, выявленная исследователями из Palo Alto Networks’ Unit 42, подчеркивает, что даже флагманские устройства Samsung Galaxy остаются уязвимыми перед сложными киберугрозами. Устройства, включая Galaxy S22, S23, S24 и Z-серии, столкнулись с атакой через нулевой день — уязвимость, о которой производитель не знал в момент её эксплуатации. Это означает, что пользователи не имели никаких средств для защиты до выхода исправления в апреле 2025 года.

Угроза распространялась через специально сформированные изображения, вероятно, отправленные через мессенджер. При этом взаимодействие со стороны пользователя не требовалось — это делает атаку особенно опасной. Уязвимость получила обозначение CVE-2025-21042, а её масштабы и детали до сих пор остаются неизвестными. Однако известно, что образцы Landfall загружали пользователи из Марокко, Ирана, Ирака и Турции, что усиливает подозрения о целенаправленной разведывательной кампании.

Угрозы, инфраструктура и связи

Инфраструктура, связанная с Landfall, частично пересекается с системой, ранее использовавшейся группировкой Stealth Falcon. Эта группа известна своими действиями в регионе Среднего Востока, включая атаки на журналистов и правозащитников. Хотя Palo Alto Networks не связывает Landfall напрямую с государственными структурами, использование уже существующей инфраструктуры указывает на возможную стратегическую заинтересованность в наблюдении за конкретными группами.

Один из IP-адресов, связанных с Landfall, был обнаружен турецкой национальной командой по кибербезопасности USOM. Это подтверждает гипотезу о том, что атаки могли быть частью более широкой кампании, направленной на граждан этой страны. В контексте роста киберугроз, таких как утечка данных через уязвимости в Android (например, уязвимость OnePlus, о которой сообщалось в сентябре 2025 года [!]), становится очевидным, что мобильные устройства остаются ключевыми точками атаки.

Растущая сложность киберугроз

Современные атаки уже не ограничиваются простыми вирусами или фишингом. Они становятся более технологичными, масштабными и, что особенно важно, целенаправленными. Например, в конце сентября 2025 года группировка Clop начала рассылать угрозы выкупа руководству компаний, утверждая, что получила доступ к конфиденциальной информации через Oracle E-Business Suite [!]. Это указывает на рост числа атак с использованием нулевых дней и уязвимостей, которые остаются незамеченными до их эксплуатации.

Для бизнеса, особенно в секторах с высокой степенью конфиденциальности, такие угрозы требуют немедленного внимания. Работники могут использовать личные устройства для работы, а значит, корпоративная информация становится уязвимой. В условиях, когда атаки происходят через изображения, а не через клики, защитить устройство становится сложнее. Особенно это касается компаний, где сотрудники работают с данными, связанными с государственными контрактами или стратегическими проектами.

i

Создано специально для ASECTOR

Концептуальное изображение

Что делать: стратегии защиты и мониторинга

Для минимизации рисков ключевым становится внедрение стратегий аудита и мониторинга мобильных активов. Это включает:

• Регулярное обновление ПО и своевременное применение патчей, особенно для устройств, работающих на Android 13–15.
• Использование корпоративных политик безопасности, включая ограничения на установку приложений из сторонних источников.
• Внедрение систем удалённого отключения устройств в случае подозрительной активности.
• Обучение сотрудников распознавать признаки атак, включая подозрительные изображения или сообщения.

Важно также учитывать, что Google планирует внедрить систему проверки идентичности разработчиков приложений для всех устройств Android [!]. Это может снизить риск установки вредоносного ПО, но не заменит необходимость в комплексной стратегии защиты.

Контекст: Samsung и его роль в кибербезопасности

Samsung, несмотря на уязвимости, оставался ключевым игроком в кибербезопасности. Компания участвует в поставке памяти для глобального ИИ-проекта Stargate, инициированного OpenAI [!]. Это подчеркивает её роль в обеспечении полупроводниковой базы для крупномасштабных систем искусственного интеллекта. Однако, как показывает атака Landfall, даже крупные игроки не застрахованы от угроз.

В третьем квартале 2025 года Samsung не только сохранил лидерство на рынке смартфонов, но и показал рекордную операционную прибыль, связанную с ростом спроса на чипы памяти [!]. Это демонстрирует, что компания продолжает развиваться, несмотря на риски, связанные с кибербезопасностью.

Выводы

Атака Landfall — это не просто техническая уязвимость. Это сигнал о том, что современные устройства, даже самые продвинутые, остаются уязвимыми перед сложными киберугрозами. Для бизнеса важно не только обновлять ПО, но и внедрять стратегии мониторинга, обучения и аудита. Безопасность — это не техническая задача, это культурная. Если сотрудники не понимают, что их устройства могут быть атакованы, защита будет неполной.