Badacze odkryli Landfall, czyli komercyjny spyware atakujący smartfony Samsung Galaxy przez pliki DNG w WhatsApp

Wyobraź sobie, że odbierasz na WhatsApp zwykłe zdjęcie od znajomego. Nie klikasz go, nie pobierasz pliku, nie instalujesz niczego podejrzanego. A jednak twój smartfon staje się w tym momencie narzędziem do pełnej inwigilacji, nagrywa rozmowy, śledzi lokalizację, wykrada hasła i dokumenty. Brzmi jak scenariusz z hollywoodzkiego thrillera o szpiegach? Niestety, to rzeczywistość, z którą przez niemal rok zmagali się użytkownicy flagowych smartfonów Samsung Galaxy.

Landfall to komercyjny spyware, który przez niemal rok wykorzystywał krytyczną lukę w smartfonach Samsung Galaxy, infekując urządzenia przez złośliwe obrazy wysyłane na WhatsApp, bez żadnej interakcji użytkownika.

Twoja gamingowa myszka może Cię podsłuchiwać. Sensory PixArt PAW3395 i PAW3399 zagrażają prywatności użytkowników

Badacze bezpieczeństwa ujawnili właśnie szczegóły kampanii szpiegowskiej wykorzystującej zaawansowane oprogramowanie, które nazwali Landfall. To odkrycie stawia niewygodne pytania nie tylko o bezpieczeństwo urządzeń mobilnych, ale także o skalę komercyjnego rynku cyfrowej inwigilacji. Unit 42, zespół badawczy Palo Alto Networks, odkrył w bazie VirusTotal serię złośliwych plików DNG (Digital Negative). Ich nazwy wskazywały na WhatsAppa, a wewnątrz kryło się modułowe oprogramowanie szpiegujące. Landfall wykorzystywał lukę CVE-2025-21042 w bibliotece libimagecodec.quram.so, komponencie przetwarzającym obrazy w Androidzie Samsunga. Gdy system automatycznie przetwarzał odebrany obraz, exploit uruchamiał ukryte pliki i modyfikował politykę SELinux, zapewniając sobie rozszerzone uprawnienia.

Północnokoreańscy hakerzy wykorzystują EtherHiding, ukrywanie malware w smart kontraktach Ethereum i BNB Smart Chain

To klasyczny atak zero-click. Podobnie jak intruz z uniwersalnym kluczem, Landfall nie wymagał żadnego działania ofiary. Wystarczyło, że WhatsApp odebrał i przetworzył plik. Użytkownik nawet nie musiał otwierać wiadomości. Możliwości szpiegowskie były imponujące. Chodziło o nagrywanie z mikrofonu i kamery, śledzenie lokalizacji GPS, wykradanie kontaktów, SMS-ów, historii połączeń, plików i historii przeglądarki. Podstawowy komponent "Bridge Head" pobierał kolejne moduły z sześciu zidentyfikowanych serwerów C2. Złośliwe oprogramowanie było wyjątkowo uporczywe i trudne do usunięcia. Pierwsze próbki pojawiły się w lipcu 2024, ostatnie w lutym 2025. Samsung załatał lukę dopiero w kwietniu 2025, czyli niemal dziesięć miesięcy po pierwszym wykryciu podatności. Celowano w Galaxy S22, S23, S24, Z Flip 4 i Z Fold 4 z Androidem 13-15. Ofiary wykryto głównie w Iraku, Iranie, Turcji i Maroku, co sugeruje sponsorowane przez państwa, celowane operacje wywiadowcze.

Wyciek danych z Sky-Shop.pl dotknął 9000 polskich sklepów internetowych. Wykradzione hashe haseł i dane osobowe klientów

Infrastruktura C2 wykazuje podobieństwa do grupy Stealth Falcon powiązanej ze Zjednoczonymi Emiratami Arabskimi. Landfall używa określenia "Bridge Head", nazewnictwa charakterystycznego dla komercyjnych dostawców spyware jak NSO Group (twórcy Pegasusa), Variston czy Cytrox. To dowód na rosnący rynek komercyjnej cyberinwigilacji. Dla użytkowników implikacje są jasne. Nawet ostrożne zachowanie nie chroni przed exploitem typu zero-click. Na szczęście Landfall był używany raczej tylko w tych celowanych atakach, a nie w masowych kampaniach. Niemniej Samsung załatał kolejną podobną lukę (CVE-2025-21043) we wrześniu 2025, co sugeruje systemowe problemy z jakością kodu biblioteki obrazów. Każdy posiadacz Galaxy powinien natychmiast zweryfikować aktualizacje. Łatki z kwietnia 2025 lub nowsze to jedyna skuteczna ochrona.