كشف باحثون أمنيون عن برنامج تجسس جديد يستهدف هواتف سامسونج جالاكسي بنظام أندرويد في حملة قرصنة استمرت قرابة عام.

وذكرت وحدة 42 في شركة Palo Alto Networks بحسب تقرير " techcrunch" البرنامج الذي أطلقوا عليه اسم Landfall تم اكتشافه لأول مرة في يوليو 2024 واستغل خللا أمنيا لم تكن سامسونج تعرفه آنذاك، وهو نوع من الثغرات المعروفة باسم يوم الصفر.

وأوضحت وحدة 42 أن الثغرة يمكن استغلالها عن طريق إرسال صورة مصممة بشكل ضار إلى هاتف الضحية عبر تطبيق المراسلة، دون الحاجة إلى أي تفاعل من المستخدم.

وقامت سامسونج بإصلاح الثغرة التي سجلت باسم CVE-2025-21042 في أبريل 2025، لكن تفاصيل حملة برامج التجسس لم يتم الإعلان عنها مسبقا.

لم يتضح هوية مطور برنامج Landfall أو عدد الأفراد المستهدفين، لكن الباحثين رجحوا أن الحملة استهدفت أشخاصا محددين في الشرق الأوسط.

ووصفت وحدة 42 الحملة بأنها هجوم دقيق على أهداف محددة وليس انتشاراً واسعاً للبرمجيات الخبيثة، مما يشير إلى أن الهدف كان التجسس.

وأظهرت التحقيقات أن برنامج Landfall يستخدم بنية تحتية رقمية مشابهة لتلك الخاصة ببائع المراقبة Stealth Falcon الذي استخدم في هجمات سابقة ضد صحفيين ونشطاء إماراتيين منذ عام 2012، إلا أن الروابط لم تكن كافية لإثبات انتماء الحملة لأي جهة حكومية.

أوضحت وحدة 42 أن عينات Landfall تم تحميلها إلى خدمة VirusTotal من مستخدمين في المغرب وإيران والعراق وتركيا طوال عام 2024 وأوائل 2025، وحدد فريق USOM التركي أحد عناوين IP المستخدمة من قبل البرنامج كعنوان ضار، ما يشير إلى استهداف محتمل لأفراد في تركيا.

ويتيح البرنامج مراقبة الأجهزة والوصول إلى الصور والرسائل وجهات الاتصال وسجلات المكالمات والتنصت على الميكروفون وتتبع الموقع بدقة.

أظهرت التحليلات أن الشيفرة المصدرية لبرنامج التجسس تشير إلى خمسة طرازات محددة من جالاكسي، منها S22 وS23 وS24 وبعض طرازات Z، ويعتقد أن الثغرة قد تؤثر على أجهزة أخرى تعمل بإصدارات أندرويد من 13 إلى 15. ولم ترد سامسونج على طلب التعليق بشأن الحملة.