תוכנת ריגול חדשה פוגעת במכשירי "סמסונג" דרך פרצת "יום אפס"

סדא ניוז - צוות מחקר "פאלו אלטו נטוורקס" גילה משפחת תוכנות ריגול חדשה המיועדת למערכת "אנדרואיד" בשם "לנדפול" (LANDFALL), שהשתמשה במסעות ריגול שנועדו למכשירי "סמסונג גלקסי" באזור המזרח התיכון. התוכנה מסתמכת על ניצול פרצת "יום אפס" בספריית סמסונג לעיבוד תמונות, שהיא חלק מסדרת פרצות דומות שנצפו במהלך השנתיים האחרונות בפלטפורמות שונות.

לפי החוקרים, פרצה זו נוצלה באופן פעיל לפני ש"סמסונג" הוציאה עדכון לתיקונה באפריל 2025, זאת לאחר דיווחים ראשוניים שציינו כי היא משתמשת בה למעשה. באותה תקופה לא פורסמו ניתוחים טכניים מפורטים לגבי טבע הפרצה או התוכנה הקשורה לה.

הניתוח של החברה הראה כי תוכנת "LANDFALL" שולבה בתוך קובצי תמונות זדוניות בפורמט "DNG" שנראה כי נשלחו דרך אפליקציית וואטסאפ. מנגנון השליחה דומה לרצפי התקפות "ללא לחיצה" שנצפו לפני כן נגד פלטפורמות "אפל" ו"וואטסאפ" באוגוסט (אוגוסט) 2025, בנוסף לניצול אפשרי נוסף שפורסם בספטמבר. הדו"ח אישר שאין פרצות "וואטסאפ" חדשות הקשורות למבצע הזה עד כה.

החוקרים ציינו כי קמפיין "לנדפול" החל למעשה באמצע שנת 2024, תוך ניצול הפרצה חודשים לפני ש"סמסונג" הוציאה את התיקון. בספטמבר (ספטמבר) 2025, החברה תיקנה פרצה חדשה מסוג זהה בספריית התמונות, מה שהעלה את רמת ההגנה נגד סוג זה של התקפות.

תוצאות הניתוח של צוות "פאלו אלטו נטוורקס" הראו כי תוכנת "LANDFALL" עוצבה במיוחד כדי לפגוע במכשירי "סמסונג גלקסי" במסגרת התקפות ממוקדות במזרח התיכון, ויש לה יכולות מעקב רחבות הכוללות הקלטת קול, מעקב גיאוגרפי, ומשיכת תמונות, מדיה ונתוני קשר. התוכנה פועלת על סמך ניצול פרצת "CVE-2025-21042" בספריית עיבוד התמונות, דרך קובצי "DNG" זדוניים שכנראה הועברו למשתמשים באמצעות ערוצי תקשורת פופולריים.

ראיות מצביעות על אפשרות השימוש בשיטה של "ללא לחיצה", שהיא דפוס דומה להתקפות האחרונות שהיו מכוונות לפלטפורמות "iOS" ו"סמסונג". כמו כן, החוקרים זיהו דמיון בתשתית הקמפיין עם פעולות ריגול מסחריות שהופיעו קודם לכן באזור, מה שעשוי לחזק את ההנחה שהיא קשורה לגורמים פרטיים. התוכנה נותרה פעילה בשקט במשך מספר חודשים לפני שגוללה, בעוד שהחברה מאשרת שמכשירים שקיבלו עדכוני האבטחה של סמסונג מאז אפריל (אפריל) 2025 אינם חשופים יותר לסכנה זו.