Unit 42 avslører at LandFall-infeksjoner rammet Samsung Galaxy S22–S24 via manipulerte WhatsApp-bilder. Null-dag ga full tilgang til data, mikrofon og posisjon
© A. Krivonosov
Forskere i Unit 42 hos Palo Alto Networks har avdekket en omfattende kampanje der skadevaren LandFall gjennom det siste året har infisert Samsung Galaxy-telefoner på tvers av Midtøsten. Den ondsinnede koden spredte seg via bilder sendt i WhatsApp og utnyttet en null-dagssårbarhet i et Android-bildebehandlingsbibliotek utviklet av Samsung. At smitten kom forkledd som helt vanlige bilder, gjør kampanjen ekstra urovekkende.
Utnyttelsen gjorde det mulig for angripere å kjøre vilkårlig kode på enheten og i praksis ta full kontroll. Når de først var inne, åpnet LandFall døren til personlige data: bilder, samtaler og kontakter, i tillegg til mikrofon og til og med posisjon i sanntid. Ingen trykk og ingen nedlasting var nødvendig; det holdt at enheten mottok et manipulert bilde for at kompromitteringen skulle skje.
Ifølge spesialister startet angrepene i juli 2024 og rammet Galaxy S22, S23 og S24, samt enkelte Galaxy Z Fold-modeller. Infeksjoner ble observert i Tyrkia, Marokko, Iran og Irak. Eksperter vurderer LandFall som kommersiell spionvare brukt i målrettede operasjoner mot utvalgte personer. Mønsteret tegner et bilde av operasjoner som søker presisjon fremfor støy.