Uudella vakoiluohjelmalla toteutettiin huomaamaton hyökkäys Samsung-puhelimiin – paljasti puhelut, sijainnin ja muita tietoja.
Kuvassa Samsung Galaxy S24 Ultra.
Tietoturvatutkijat ovat löytäneet uuden, ilmeisesti kaupalliseen käyttöön tarkoitetun Android-vakoiluohjelman, jota on hyödynnetty jopa yhdeksän kuukautta kestäneessä hyökkäyskampanjassa Samsungin Galaxy-puhelimia vastaan. Hyökkäysten arvioidaan kohdistuneen pääasiassa Lähi-itään.
Aiheeseen liittyvät julkaisut
Tietoturvayhtiö Palo Alto Networksin Unit 42 -tutkimusryhmän mukaan Landfall-niminen vakoiluohjelma käytti hyväkseen aiemmin tuntematonta haavoittuvuutta Samsungin Galaxy-puhelinten kuvankäsittelykirjastoissa. Hyökkäykset todennäköisesti toteutettiin WhatsAppin kautta lähetettyjen DNG-kuvatiedostojen avulla, joihin oli piilotettu haitallinen ZIP-arkisto.
CVE-2025-21042-tunnuksella merkitty haavoittuvuus korjattiin Samsungin toimesta huhtikuussa 2025.
Tutkijoiden havaintojen mukaan Landfall saattoi olla niin sanottu zero-click-haittaohjelma, joka ei vaadi käyttäjältä mitään toimia, vaan iskee salakavalasti taustalla.
Vakoiluohjelma mahdollisti mikrofonin ja puheluiden tallentamisen, sijainnin seuraamisen sekä kuvien, viestien, yhteystietojen ja puheluhistorian keräämisen.
”Tämä ei ollut laajalle levinnyt haittaohjelma, vaan tarkasti kohdennettu hyökkäys”, kommentoi Itay Cohen, Unit 42:n vanhempi tutkija.
Unit 42:n mukaan kampanjan ”tunnusmerkit ja infrastruktuuri” muistuttavat aiemmin Lähi-idässä havaittuja kaupallisia vakoiluoperaatioita. Tutkijat eivät kuitenkaan ole pystyneet vahvistamaan Landfallin kehittäjää tai tilaajaa.
Landfallin komentopalvelimet ja verkkotunnusrekisteröinnit muistuttavat myös Stealth Falcon -hakkeriryhmän käyttämiä malleja. Ryhmällä on aiemmin havaittu yhteyksiä Yhdistyneisiin arabiemiirikuntiin, mutta suoria todisteita yhteydestä ei ole.
Hyökkäysten kohteiden epäillään olevan peräisin muun muassa Irakista, Iranista, Turkista ja Marokosta. Turkin kansallinen kybervalvontakeskus USOM on ilmoittanut Landfallin käyttämät IP-osoitteet haitallisiksi, mikä viittaa mahdollisiin turkkilaisuhreihin.
Unit 42:n mukaan haavoittuvuus ilmoitettiin Samsungille jo syyskuussa 2024, mutta yhtiö julkaisi korjauspäivityksen vasta seitsemän kuukautta myöhemmin. Samsung ei ole kommentoinut asiaa.
