بدافزار جاسوسی «Landfall» با سوءاستفاده از آسیب‌پذیری Zero-Day، گوشی‌های گلکسی را هک کرد

محققان امنیتی یک بدافزار جاسوسی اندرویدی را کشف کرده‌اند که طی یک کمپین هک نزدیک به یک ساله، گوشی‌های سامسونگ گلکسی را هدف قرار داده بود.

محققان شرکت Unit 42 تابع Palo Alto Networks گفتند که این بدافزار جاسوسی که آن را «Landfall» می‌نامند، برای اولین بار در ژوئیه ۲۰۲۴ شناسایی شد و برای عملکرد خود به بهره‌برداری از یک نقص امنیتی در نرم‌افزار گوشی‌های گلکسی تکیه داشت که در آن زمان برای سامسونگ ناشناخته بود — نوعی آسیب‌پذیری که به عنوان Zero-Day شناخته می‌شود.

تحلیل:
«Unit 42 اعلام کرد که این آسیب‌پذیری می‌توانست با ارسال یک تصویر مخرب به گوشی قربانی، احتمالاً از طریق یک اپلیکیشن پیام‌رسان، مورد سوءاستفاده قرار گیرد و حملات ممکن بود بدون نیاز به هیچ‌گونه تعامل از سوی قربانی انجام شوند.»

سامسونگ این نقص امنیتی — که با شناسه CVE-2025-21042 ثبت شده — را در آوریل ۲۰۲۵ رفع کرد، اما جزئیات کمپین بدافزار جاسوسی که از این آسیب‌پذیری سوءاستفاده کرده، پیش از این گزارش نشده بود.

‘Landfall’ spyware abused zero-day to hack Samsung Galaxy phones
محققان در یک پست وبلاگ گفتند که مشخص نیست کدام شرکت فروشنده ابزارهای جاسوسی، بدافزار Landfall را توسعه داده است و همچنین مشخص نیست چند نفر به عنوان بخشی از این کمپین هدف قرار گرفته‌اند. اما محققان گفتند که حملات احتمالاً افراد در خاورمیانه را هدف قرار داده است.

ایتای کوهن، محقق ارشد در Unit 42، به TechCrunch گفت که کمپین هک شامل یک «حمله دقیق» بر روی افراد خاص بوده و نه یک بدافزار توزیع انبوه، که نشان می‌دهد حملات احتمالاً توسط جاسوسی هدایت شده‌اند.

Unit 42 دریافت که بدافزار جاسوسی Landfall با زیرساخت دیجیتالی مشترک یک فروشنده شناخته‌شده ابزارهای جاسوسی به نام Stealth Falcon همپوشانی دارد که قبلاً در حملات بدافزار جاسوسی علیه روزنامه‌نگاران، فعالان و مخالفان اماراتی از سال ۲۰۱۲ مشاهده شده است. اما محققان گفتند که ارتباطات با Stealth Falcon، با وجود جالب بودن، برای نسبت دادن واضح حملات به یک مشتری دولتی خاص کافی نیست.

نکته کلیدی:
«Unit 42 اعلام کرد که نمونه‌های بدافزار جاسوسی Landfall که کشف کرده‌اند، از سوی افرادی در مراکش، ایران، عراق و ترکیه در طول سال ۲۰۲۴ و اوایل ۲۰۲۵ به VirusTotal (سرویس اسکن بدافزار) آپلود شده بود. تیم آمادگی سایبری ملی ترکیه، معروف به USOM، یکی از آدرس‌های IP که بدافزار جاسوسی Landfall به آن متصل می‌شد را به عنوان مخرب علامت‌گذاری کرد که Unit 42 گفت این موضوع از نظریه مبنی بر اینکه افراد در ترکیه ممکن است هدف قرار گرفته باشند، پشتیبانی می‌کند.»

قابلیت‌های بدافزار Landfall

مانند سایر بدافزارهای جاسوسی دولتی، Landfall قادر به نظارت گسترده بر دستگاه است، مانند دسترسی به داده‌های قربانی، از جمله عکس‌ها، پیام‌ها، مخاطبین و سوابق تماس، و همچنین شنود میکروفون دستگاه و ردیابی موقعیت دقیق آنها.

Unit 42 دریافت که کد منبع بدافزار جاسوسی به پنج گوشی خاص گلکسی، از جمله Galaxy S22، S23، S24 و برخی از مدل‌های Z، به عنوان اهداف اشاره می‌کند. کوهن گفت که این آسیب‌پذیری ممکن است در سایر دستگاه‌های گلکسی نیز وجود داشته باشد و نسخه‌های ۱۳ تا ۱۵ اندروید را تحت تأثیر قرار داده است.

سامسونگ به درخواست برای اظهار نظر پاسخ نداد.

دسترسی سریع و ایمن به ابزارهای قدرتمند فناوری!