Шпионское ПО LANDFALL атаковало Samsung Galaxy через фото в WhatsApp: уязвимость нулевого дня раскрыта

В начале 2025 года специалисты по кибербезопасности обнаружили серьезную уязвимость с индексом CVE-2025-21042 в библиотеке обработки изображений, используемой на смартфонах Samsung Galaxy. Эта уязвимость, относящаяся к категории «нулевого дня», позволяла злоумышленникам атаковать устройства до того, как производитель успел выпустить обновление. Библиотека, отвечающая за работу с изображениями различных форматов, в том числе фирменных от Samsung, оказалась слабым звеном в системе защиты.

Особый интерес вызывает вредоносная программа LANDFALL, которая использовала эту дыру в безопасности. Вредоносный код внедрялся в специально подготовленные DNG-файлы, которые рассылались через мессенджеры, например, WhatsApp. Как выяснили эксперты Palo Alto Network, атаки с использованием LANDFALL фиксировались еще в середине 2024 года, задолго до того, как Samsung устранила проблему. При этом Meta, владеющая WhatsApp, не нашла подтверждений, что их платформа была напрямую задействована в распространении эксплойта.

LANDFALL был нацелен не на массового пользователя, а на конкретных людей, преимущественно на Ближнем Востоке — в Турции, Иране, Ираке и Марокко. Вредоносное ПО позволяло незаметно получать доступ к микрофону, отслеживать местоположение, просматривать фотографии, контакты и сообщения, а также записывать звонки. Для заражения устройства не требовалось никаких действий со стороны пользователя — достаточно было получить и открыть вредоносное изображение.

Особенно уязвимыми оказались модели Galaxy S22 и некоторые другие устройства из этой линейки. С июля 2024 года по апрель 2025 года, когда Samsung выпустила патч, прошло почти десять месяцев, в течение которых злоумышленники могли беспрепятственно использовать уязвимость. Примечательно, что компания не делала публичных заявлений о найденной проблеме.

Эксперты советуют владельцам смартфонов Samsung Galaxy убедиться, что на их устройствах установлено обновление безопасности Android не ниже апреля 2025 года. Также рекомендуется отключить автоматическую загрузку медиафайлов в мессенджерах и активировать дополнительные режимы защиты, если есть риск целенаправленных атак. Только такие меры помогут минимизировать угрозу повторения подобных инцидентов в будущем. Булат Сайрулин