Egyetlen kép is elég volt – futtatható képfájlok
A támadók szokatlan módszert választottak: speciális DNG-képfájlokat módosítottak, amelyekbe ZIP-archívumokat rejtettek rosszindulatú kódokkal. Ezek a képfájlok a Samsung-telefonok képmegjelenítő könyvtárát támadták. A felhasználónak semmit sem kellett tennie, az érintett kép puszta megjelenítése is aktiválta a kémprogramot. A Landfall továbbá módosította a telefon SELinux-biztonsági beállításait, hogy bármilyen adathoz hozzáférhessen, és a lehető legmélyebbre ássa be magát a rendszerben.
Célzott támadások és szinte lehetetlen eltávolítás
A fertőzött képeket elsősorban üzenetküldő alkalmazásokon, például a WhatsAppon keresztül küldték célpontjaiknak. A Landfall főként a Galaxy S22, Galaxy S23, Galaxy S24, Galaxy Z Flip4 és Galaxy Z Fold4 modelleket támadta. Miután bekerült a készülékbe, azonnal kapcsolatba lépett a támadókkal, majd megkezdte a felhasználó adatainak kiszivattyúzását – beleértve az azonosítókat, névjegyeket, telepített alkalmazásokat, fájlokat és a böngészési előzményeket is. Fontos, hogy a kémprogram eltávolítása rendkívül bonyolult, mivel mélyen a rendszer szoftverében rejtőzik. A támadássorozat Irakban, Iránban, Törökországban és Marokkóban volt a legaktívabb, főként az Android 13–15 rendszert futtató Samsung-készülékeken. Bár a Landfall több hasonlóságot mutat az NSO Group vagy a Variston kiberfegyvereivel, mégsem sikerült egyértelműen egy csoporthoz kötni. Noha a rést már javították, nem kizárt, hogy más, rosszindulatú szereplők is hasonló támadásokba kezdenek. Ezért minden Samsung-felhasználónak érdemes ellenőriznie, hogy a készülékén az áprilisi vagy annál frissebb biztonsági frissítés fut-e.
