Unit 42 paljasti LandFallin: nollapäivähaavoittuvuus tartutti Samsung Galaxy S22–S24 -malleja WhatsApp-kuvilla. CVE‑2025‑21042 korjattu 04/2025 — päivitä heti.
© A. Krivonosov
Palo Alto Networksin Unit 42 -tutkijat ovat paljastaneet laajamittaisen kampanjan, jossa LandFall‑haittaohjelma on viimeisen vuoden aikana tartuttanut Samsung Galaxy -puhelimia eri puolilla Lähi-itää. Haittakoodi levisi WhatsAppissa lähetettyjen kuvien kautta ja hyödynsi nollapäivähaavoittuvuutta Samsungin kehittämässä Androidin kuvankäsittelykirjastossa. Kun arkinen kuva muuttuu hyökkäysvektoriksi, riski hiipii sisään huomaamatta.
Haavoittuvuuden avulla hyökkääjät pystyivät suorittamaan mielivaltaista koodia ja ottamaan laitteen käytännössä kokonaan haltuunsa. Pääsy avautui henkilökohtaisiin tietoihin: valokuviin, keskusteluihin ja yhteystietoihin sekä mikrofoniin ja reaaliaikaiseen sijaintiin. Erillistä napautusta tai latausta ei tarvittu — riitti, että laite vastaanotti ansaan viritetyn kuvan. Juuri tämä tekee hyökkäyksestä poikkeuksellisen ovelan.
Asiantuntijoiden mukaan hyökkäykset alkoivat heinäkuussa 2024 ja kohdistuivat Galaxy S22-, S23- ja S24-malleihin sekä joihinkin Galaxy Z Fold -malleihin. Tartuntoja havaittiin Turkissa, Marokossa, Iranissa ja Irakissa. Arvion mukaan LandFall on kaupallista vakoiluohjelmaa, jota käytetään tarkoin rajatuissa operaatioissa yksittäisiä henkilöitä vastaan — ei siis massoihin, vaan valikoituihin kohteisiin.
Haavoittuvuus, tunnisteeltaan CVE‑2025‑21042, korjattiin huhtikuun 2025 tietoturvapäivityksessä. Uusimmat mallit, mukaan lukien Galaxy S25, eivät ole vaikutuksen piirissä. Kun hyökkäys voi sujahtaa sisään tavallisen kuvan kautta, lepsuilu on pahin vihollinen — muistutus siitä, että tietoturvapäivitykset kannattaa asentaa viipymättä, vaikka puhelin ei enää saisi täydellisiä käyttöjärjestelmäpäivityksiä.