В течение почти года вредоносная программа Landfall тайно отслеживала пользователей смартфонов Samsung Galaxy, эксплуатируя ранее неизвестную уязвимость в их Android-софте. По выводам исследователей из Palo Alto Networks Unit 42, заражённые устройства получали доступ к чувствительной информации: переписке, фото и аудиозаписям, сделанным через встроенный микрофон.
Распространение вредоносного ПО происходило через специально подготовленные графические файлы: заражение не требовало каких‑либо действий со стороны пользователя — достаточно было просто получить файл, и взаимодействие с ним не нужно было. Хотя первые случаи зафиксировали в июле 2024 года, патч уязвимости Samsung выпустила лишь в апреле 2025 года.
Исследователь Итай Коэн отметил, что атаки с использованием Landfall носили целевой характер и направлялись на конкретных людей, а не на массовую аудиторию.
Функционал Landfall позволял красть фотографии, текстовые сообщения, контакты, данные о звонках, активировать микрофон и отслеживать геолокацию. Злоумышленники распространяли вредоносное ПО через VirusTotal, применяя для этого IP‑адреса из Марокко, Ирана, Ирака и Турции. Один из турецких IP‑адресов был помечен как вредоносный группой USOM.
Анализ кода показывает, что модуль нацелен на устройства с серийными номерами S22, S23, S24 и на некоторые модели из серии Z. При этом уязвимость могла затрагивать и другие смартфоны Samsung под управлением Android 13–15. По состоянию на сейчас Samsung не дала официального комментария по итогам расследования.
