Специалисты по информационной безопасности из подразделения 42 компании Palo Alto Networks обнаружили шпионскую кампанию на платформе Android под названием Landfall. Вредоносная программа использовала уязвимость нулевого дня в смартфонах Samsung Galaxy. Уязвимость могла быть задействована в рамках целенаправленной шпионской кампании.
Уязвимость CVE-2025-21042 находится в библиотеке обработки изображений Samsung. Ставшим мишенью пользователям не нужно было ничего открывать или нажимать. Заражение могло произойти при получении вредоносного изображения формата .DNG через мессенджеры. Шпионское ПО было активно как минимум с июля 2024 года. Samsung устранила уязвимость в апреле 2025 года.
Вредоносная кампания была нацелена главным образом на модели Galaxy S22, S23, S24 и складные, такие как Z Fold 4 и Z Flip 4, на Android версий 13–15. Подобное программное обеспечение используется для точечных атак на устройства определённых людей. Жертвы в основном находились на Ближнем Востоке и в Северной Африке, включая Иран, Ирак, Турцию и Марокко. Вредоносное ПО распространялось через сеть серверов, связанных с доменами, ранее связанными с киберпреступной группой Stealth Falcon.
По данным Unit 42, структура и инфраструктура шпионского ПО дают понять, что создатели Landfall являются профессиональными поставщиками систем видеонаблюдения, а не киберпреступники. После установки Landfall может записывать аудио, активировать камеру, собирать сообщения, контакты и журналы вызовов, а также отслеживать местоположение в режиме реального времени.