Шпигунське програмне забезпечення, відоме як LANDFALL
- Matthew Parish
- 4 хвилини тому
- Читати 5 хв
У листопаді 2025 року дослідники з кібербезпеки публічно розкрили нове складне сімейство шпигунських програм, орієнтованих на Android, під кодовою назвою LANDFALL , яке використовує вразливість нульового дня в деяких флагманських пристроях Samsung Galaxy. Кампанія вирізняється використанням файлів зображень зі спотвореним форматом (формат DNG), що доставляються з мінімальною або потенційно без взаємодії з користувачем, високим рівнем можливостей спостереження, вбудованих у систему шпигунського програмного забезпечення, а також ознаками регіонального таргетування та участі приватного сектору в наступальних діях. Далі ми вивчаємо технічні механізми LANDFALL, його можливості, стратегічні та геополітичні наслідки, деякі докази атрибуції та, нарешті, які уроки він містить для мобільної безпеки в контексті інструментів спостереження державного рівня.
Технічний механізм: атаки нульового дня, DNG-зображення та ланцюжок експлойтів
LANDFALL використовує вразливість нульового дня, що відстежується як CVE‑2025‑21042, недолік запису за межами дозволених значень у бібліотеці обробки зображень Samsung libimagecodec.quram.so , яка використовується для декодування файлів зображень DNG («цифровий негатив») на пристроях Samsung Galaxy. Оскільки недолік знаходиться в основній бібліотеці кодеків зображень, будь-який додаток, який обробляє ненадійні зображення, може слугувати вектором. Це уможливлювало віддалене виконання коду (RCE), коли вразлива бібліотека обробляла шкідливі файли зображень DNG.
У квітні 2025 року Samsung випустила патч, що усуває цю вразливість.
Початкове розгортання LANDFALL відбулося через неправильно сформований Файли зображень DNG, зазвичай замасковані під такими назвами, як «WhatsApp Image …», та доставлені через месенджери (ймовірно, WhatsApp). Шкідливі файли містили вбудований ZIP-архів, доданий до даних DNG; під час обробки ланцюжок експлойтів активував вразливість, витягував корисні навантаження та запускав завантажувач.
У багатьох випадках атака, схоже, не вимагає жодного кліку від жертви («нульовий клік») або мінімальної взаємодії, оскільки проста обробка зображення системою запускала експлойт.
Хронологія показує, що зразки цих пошкоджених файлів зображень вперше з’явилися на VirusTotal (сканері шкідливих програм) з липня 2024 року — за кілька місяців до виправлення або публічного розкриття інформації.
Система та можливості шпигунського програмного забезпечення
Після успішного використання експлойту фреймворк LANDFALL встановлює модульну систему шпигунського програмного забезпечення. Ключові компоненти включають:
Можливості LANDFALL включають комплексні функції спостереження:
Запис аудіо через мікрофон.
Відстеження місцезнаходження та збір даних GPS.
Доступ до фотографій, журналів викликів, контактів, SMS, встановлених програм.
Методи антианалізу / ухилення (наприклад, виявлення інструментів налагодження, перехоплення фреймворків).
Інфраструктура командування та управління (C2) використовує HTTPS через нестандартні порти, домени маскуються під безпечні.
Цільові пристрої та географічний фокус
Шкідливе програмне забезпечення розроблено спеціально для пристроїв Samsung Galaxy, включаючи такі моделі, як серії S22, S23, S24 та Z Fold4 / Z Flip4. Дані зразків та інфраструктура вказують на цілі на Близькому Сході та в Північній Африці (Ірак, Іран, Туреччина, Марокко) як потенційних жертв.
Хоча ширшу експлуатацію не можна виключати, дані свідчать про цільову експлуатацію високоцінних осіб, а не про масове розповсюдження.
Комерційне шпигунське програмне забезпечення та агресивні суб'єкти приватного сектору (PSOAs)
Однією з примітних особливостей LANDFALL є те, що він, ймовірно, є «шпигунським програмним забезпеченням комерційного класу» — тобто інструментом, ймовірно розробленим приватним постачальником та розгорнутим для шпигунських цілей, проданим або ліцензованим одному чи кільком клієнтам (державам або пов’язаним з державою суб’єктам). Термінологія налагодження («Bridge Head»), подібність інфраструктури та схема цільової орієнтації вказують на зв’язки з відомими фреймворками постачальників шпигунських програм, такими як ті, що використовуються такими організаціями, як NSO Group, Cytrox та Variston.
Це викликає питання щодо нагляду, регулювання та відповідальності за комерційне шпигунське програмне забезпечення. Розгортання такого інструменту проти цільових осіб у державах із суперечливими показниками прав людини посилює ширше занепокоєння щодо зловживань стеженням.
Небезпека мобільної експлуатації з нульовим кліком
LANDFALL висвітлює зростаючу проблему: мобільні пристрої все частіше стають мішенню складних експлойтів з нульовим або майже нульовим кліком. Пристрій може бути скомпрометований без виконання користувачем будь-яких очевидних ризикованих дій. Використання бібліотек обробки зображень (для DNG-файлів) як вектора є особливо підступним, оскільки зображення є повсюдними та часто автоматично відображаються або обробляються месенджерами та ОС з мінімальним втручанням користувача. Поширеність месенджерів, таких як WhatsApp, у поєднанні з цим методом доставки означає, що цінні цілі, такі як активісти, журналісти, дисиденти чи дипломати, можуть бути особливо вразливими.
Наслідки для геополітичного спостереження та цифрової безпеки
З огляду на регіональну спрямованість (Близький Схід, Північна Африка), LANDFALL, схоже, є частиною системи спостереження, де мобільні пристрої слугують багатими цілями для розвідки: негайний доступ до місцезнаходження, дзвінків, контактів, медіа та зв'язку в режимі реального часу. У ширшому контексті контроль доступу до телефону людини може бути рівносильним контролю над значною частиною її цифрового та реального життя. Для таких країн, як Україна, урок полягає в тому, що сучасні арени конфліктів все частіше передбачають спостереження так само, як і кінетичні взаємодії. Компрометація мобільних пристроїв може впливати на дипломатичні маневри, потоки розвідувальних даних і навіть на бойові зв'язки.
Атрибуція та невирішені питання
Хоча технічні деталі LANDFALL добре задокументовані, атрибуція залишається невизначеною. Дослідники з Unit 42 компанії Palo Alto Networks зазначають, що інфраструктура має схожість з тією, що використовується групою Stealth Falcon (пов'язаною з Об'єднаними Арабськими Еміратами), але наголошують, що доказів недостатньо для остаточного визначення атрибуції кампанії.
Також відсутні публічні дані про те, хто був фактичним оператором(ами) або покупцем(ами) цього інструменту, або скільки саме було жертв. Модульна конструкція та комерційні характеристики свідчать про те, що його могли продати кільком кінцевим користувачам або клієнтам. Більше того, здатність держав або пов'язаних з державою суб'єктів купувати такі інструменти викликає питання щодо експортного контролю, правової бази та нагляду за такими можливостями спостереження.
Пом'якшення наслідків та отримані уроки
З оборонної та політичної точки зору, поява LANDFALL дає кілька уроків:
Керування патчами та мобільне посилення безпеки: експлойт спирався на вразливість у бібліотеці обробки зображень, яку було виправлено у квітні 2025 року. Пристрої, які залишалися без патчів, були вразливими. Організації повинні забезпечити своєчасне застосування оновлень та випусків для обслуговування безпеки.
Обмежте автоматичну обробку медіафайлів у середовищах з високим рівнем ризику: оскільки вектором доставки часто було повідомлення з файлом зображення, вимкнення автоматичного завантаження зображень у програмах обміну повідомленнями (особливо для цінних користувачів) знижує ризик.
Виявлення мобільних загроз та моніторинг аномалій: враховуючи, що навіть добре захищені пристрої можуть стати жертвами експлойтів з нульовим кліком, захисникам слід розгорнути виявлення мобільних кінцевих точок, моніторинг аномалій мережі, ідентифікувати домени командування та контролю та підтримувати контроль над поведінкою пристроїв.
Усвідомлення моделі загрози комерційних шпигунських програм: той факт, що використовується шпигунський інструмент приватного постачальника, підкреслює, що захисники повинні враховувати не лише державні структури шпигунства, а й представників приватного сектору. Правові, етичні та політичні рамки повинні йти в ногу з таким розвитком.
Оперативна безпека для осіб з високим рівнем ризику: журналісти, дисиденти, активісти, дипломати та інші можуть бути цінними об'єктами спостереження. Використання мобільних пристроїв такими особами має бути конфіденційним, із суворим контролем та резервними механізмами.
Кампанія зі шпигунським програмним забезпеченням LANDFALL знаменує собою важливу віху в еволюції інструментів мобільного шпигунства: ланцюжок експлойтів з нульовим кліком, що використовують файли зображень, спрямовані на сучасні флагманські пристрої Android, з модульним шпигунським програмним забезпеченням комерційного класу, що забезпечує спостереження в режимі реального часу. Для організацій, що займаються кібербезпекою, та для держав, які борються з наслідками компрометації мобільних пристроїв, цей випадок підкреслює конвергенцію технологічної вразливості, амбіцій щодо спостереження та геополітичного ризику. У таких театрах військових дій, як Україна, де цифровий зв'язок, мобільні пристрої та розвідка на полі бою тісно пов'язані, усвідомлення таких загроз є таким же важливим, як і традиційна кінетична оборона.
Оскільки технічні деталі продовжують з'являтися, а атрибуція стає зрозумілішою, LANDFALL, безсумнівно, стане прикладом того, як мобільні платформи перетворюються на зброю. Ті, хто перебуває під загрозою кібератаки, повинні зайняти позицію мобільної стійкості, своєчасного встановлення патчів, безпечних методів обміну повідомленнями та бути готовими до світу, в якому смартфон є одночасно полем бою та мішенню. Останній урок полягає в тому, що з удосконаленням мобільних телефонів, коли клієнти завжди хочуть найновіших моделей, винахідливі хакери знаходитимуть все нові підводні камені в їхніх технологіях.