Így működik a támadás
A támadók egy speciális, hibás .DNG-képformátumot használtak, amelynek végéhez egy .ZIP-archívumot fűztek hozzá. Ezeket a képeket WhatsAppon keresztül terjesztették, és ha a felhasználó letöltötte őket, a képfeldolgozó könyvtár a sebezhetőség miatt tetszőleges kód futtatását tette lehetővé. A LandFall kémprogram két fő elemből áll: egy modulbetöltőből (b.so), amely képes további kártékony modulokat letölteni, és egy SELinux-házirend‑manipulátorból (l.so), amely módosítja az eszköz biztonsági beállításait, így a kártevő megőrzi a jelenlétét.
Fejlett kémfunkciók
A LandFall képes az eszköz azonosítására (IMEI, IMSI, SIM-kártya, felhasználói fiók, Bluetooth, tartózkodási hely, telepített alkalmazások listája). Emellett hangfelvételeket készít a mikrofonról, rögzíti a hívásokat, követi a tartózkodási helyet, hozzáfér a fényképekhez, névjegyekhez, SMS-ekhez, híváslistához, fájlokhoz és a böngészési előzményekhez.
Kik az áldozatok?
A támadások elsődleges célpontjai a Samsung Galaxy S22, S23 és S24 sorozat, valamint a Z Fold4 és Z Flip4 modellek, vagyis szinte minden friss zászlóshajó, a legújabb S25 szériát leszámítva. Leginkább Iránban, Irakban, Törökországban és Marokkóban élőket vettek célba.
Kik állnak mögötte?
A kampányhoz hat parancs- és vezérlőszervert (C2) azonosítottak, köztük olyat is, amelyet már a török kiberbiztonsági szervek figyelnek. A szerverinfrastruktúra hasonlít az Egyesült Arab Emírségek által támogatott Stealth Falcon (Stealth Falcon) hadműveletek mintájára, de biztosan nem köthető ismert kémprogram-fejlesztőhöz. A program elnevezési gyakorlata is rokon más hírhedt cégekével, például az NSO Groupéval és a Cytroxéval.
Hogyan védekezz?
A védelmet az időben elvégzett biztonsági frissítések jelentik, továbbá célszerű kikapcsolni az automatikus médialetöltést a csevegőalkalmazásokban. A Samsung már javította a hibát, ezért haladéktalanul frissítsd az eszközödet.
