LANDFALL napada Samsung telefone

LANDFALL infekcije, prema izvještaju Unit 42 kompanije Palo Alto Networks, usmjerene su na Samsung uređaje širom svijeta, što je izazvalo zabrinutost zbog mogućeg kompromitovanja osjetljivih podataka korisnika i podstaklo istragu radi utvrđivanja obima i uticaja ovih napada.

LANDFALL ŠPIJUN

Otkriće LANDFALL, ranije nepoznate porodice zlonamjernog softvera, naglašava značaj održavanja robusnih bezbjednosnih mjera u borbi protiv naprednih prijetnji. Posebno zabrinjava upotreba pažljivo izrađenih DNG datoteka slika kao mehanizma za isporuku zlonamjernog kôda, što jasno ukazuje na potrebu stalne budnosti u zaštiti od napada bez klika (eng. zero-click attacks).

Metodologija korišćena u ovoj kampanji podsjeća na lance eksploatacije ranije uočene kod Apple iOS uređaja. U oba slučaja, zlonamjerni akteri su iskoristili ranjivosti u bibliotekama za obradu slika kako bi omogućili daljinsko izvršavanje kôda bez ikakve interakcije korisnika.

 

Otkrivanje i analiza

Sigurnosni istraživači su otkrili kampanju LANDFALL tokom analize paralelnog lanca eksploatacije za iOS, koji je identifikovan u avgustu 2025. Tokom istraživanja pronašli su šest uzoraka zlonamjernih DNG datoteka otpremljenih na VirusTotal između jula 2024. i februara 2025. godine. Ove datoteke sadržale su ugrađene ZIP arhive sa komponentama špijunskog softvera.

Otkriće takvih uzoraka naglašava značaj praćenja digitalnih platformi poput VirusTotal radi pravovremenog uočavanja novih prijetnji. Više uzoraka ukazuje na koordinisane pokušaje zlonamjernog aktera da proširi LANDFALL među različitim ciljevima.

Dalja analiza pokazala je da su DNG datoteke osmišljene da iskoriste ranjivost CVE-2025-21042 u Samsung biblioteci, što omogućava daljinsko izvršavanje kôda bez potrebe za interakcijom korisnika na pogođenim uređajima.

 

Metodologija eksploatacije

CVE-2025-21042 predstavlja kritičnu ranjivost u Samsung biblioteci za obradu slika. Ona omogućava zlonamjernim akterima da izvršavaju kôd u trenutku kada uređaji žrtava automatski obrađuju neispravno formatirane DNG datoteke.

Metodologija LANDFALL kampanje zasniva se na ugrađivanju zlonamjernog kôda u posebno pripremljene DNG datoteke koje se prikazuju kao obične WhatsApp poruke. Na taj način uređaj žrtve automatski obrađuje deformisane slike, što dovodi do izvršavanja ugrađenog softvera bez ikakve interakcije korisnika osim samog primanja poruke.

Ovaj vektor napada sa nultim klikom posebno je zabrinjavajući zbog potencijala za masovno kompromitovanje. Upotreba pažljivo osmišljenih imena datoteka, poput “WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg”, zajedno sa korištenjem platformi za razmjenu poruka kao što je WhatsApp, dodatno otežava otkrivanje. DNG slike kao vektor distribucije zlonamjernog softvera zaslužuju pažnju, jer se široko koriste na različitim platformama i aplikacijama. Mogućnost ugrađivanja ZIP arhiva unutar ovih datoteka dodatno komplikuje napore detekcije.

Lanac eksploatacije započinje ubacivanjem zlonamjernog kôda u DNG datoteke koje ciljano iskorištavaju CVE-2025-21042 u Samsung biblioteci libimagecodec.quram.so. Ova ranjivost omogućava izvršavanje proizvoljnog kôda svaki put kada uređaji žrtava automatski obrade deformisane slike.

 

Tehničke karakteristike

Tehničke karakteristike zlonamjernog softvera LANDFALL u velikoj mjeri odgovaraju profilima komercijalnih špijunskih rješenja koje razvijaju ofanzivni akteri iz privatnog sektora (eng. private sector offensive actors – PSOA). Njegova arhitektura pokazuje visok stepen sofisticiranosti, posebno kroz b.so komponentu koja ostvaruje komunikaciju sa komandnim i kontrolnim (C2) serverom putem HTTPS protokola, koristeći nestandardni, privremeni TCP port.

Ovakav pristup omogućava održavanje anonimnosti i otežava detekciju od strane bezbjednosnih sistema koji se oslanjaju na uobičajene portove i protokole. Istovremeno, upotreba privremenog porta dodatno komplikuje posao istraživačima u identifikaciji i praćenju komunikacionih obrazaca.

Funkcionalnosti LANDFALL zlonamjernog softvera obuhvataju snimanje putem mikrofona, presretanje poziva, praćenje lokacije i prikupljanje fotografija, kontakata, evidencija poziva, SMS poruka i istorije pregledanja. Pored toga, softver može manipulisati sistemskim datotekama, ubrizgavati zlonamjerni kôd u legitimne aplikacije i mijenjati podešavanja uređaja bez znanja ili pristanka korisnika.

Ovakve mogućnosti jasno ukazuju da je LANDFALL osmišljen za diskretno prikupljanje osjetljivih podataka sa kompromitovanih uređaja. Posebno zabrinjava njegova sposobnost presretanja komunikacije, što dodatno potvrđuje potencijalnu upotrebu u špijunaži i nadzoru.

Pored toga, LANDFALL koristi napredne metode izbjegavanja detekcije, uključujući identifikaciju alata za otklanjanje grešaka, okvira instrumentacije i bezbjednosnih analiza. Zahvaljujući ovim tehnikama, softver ostaje skriven čak i kada se nađe pod lupom stručnjaka koji koriste specijalizovane alate za analizu. Ovakav nivo prikrivanja svjedoči o pažljivo planiranoj namjeri i tehničkoj zrelosti njegovih tvoraca.

 

Ciljanje uređaja

LANDFALL zlonamjerni softver posebno cilja vodeće modele Samsung Galaxy pametnih telefona, uključujući serije S22, S23 i S24, kao i uređaje Z Fold4 i Z Flip4. Ovakva strategija ukazuje na to da je softver razvijen s namjerom da iskoristi ranjivosti specifične za određene modele ili verzije operativnog sistema, čime se dodatno potvrđuje njegova usmjerenost ka sofisticiranim tehnikama kompromitovanja.

Iskorištavanje tehničkih slabosti u pojedinim uređajima ili softverskim platformama predstavlja ustaljenu praksu među zlonamjernim akterima. Fokusiranjem na vrhunske pametne telefone, LANDFALL demonstrira svoj potencijal kao alat za špijunažu i nadzor, posebno u kontekstu ciljanih operacija. Njegova sposobnost da kompromituje najnovije modele kompanije Samsung dodatno naglašava ozbiljnost prijetnje koju predstavlja.

Ova saznanja izazivaju zabrinutost u vezi sa bezbjednošću drugih uređaja i operativnih sistema koji bi mogli dijeliti slične ranjivosti. S obzirom na tehničku usmjerenost LANDFALL zlonamjernog softvera, postoji opravdana bojazan da bi slični napadi mogli biti prošireni i na druge platforme, čime se otvara prostor za šire implikacije u oblasti digitalne bezbjednosti.

 

Infrastruktura kampanje i obrasci trgovine

Infrastruktura kampanje i obrasci trgovine pokazuju sličnosti sa operacijama komercijalnog špijunskog softvera, povezanog sa entitetima ofanzivnih aktera privatnog sektora (PSOA) koji razvijaju i prodaju alate za nadzor vladinim klijentima. Ovakvo zapažanje ukazuje na visok nivo sofisticiranosti i koordinacije među pojedincima ili grupama uključenim u kampanju LANDFALL.

Analizom infrastrukture otkriva se složena mreža servera za komandovanje i kontrolu (C2), korištenih za upravljanje varijantama zlonamjernog softvera. Obrasci registracije C2 domena podsjećaju na one viđene u operacijama Stealth Falcon, grupi koja potiče iz Ujedinjenih Arapskih Emirata. Ova povezanost može ukazivati na vezu između LANDFALL zlonamjernog softvera i drugih aktera iz regiona.

Pažnju privlači i upotreba konvencija imenovanja koje podsjećaju na praksu dobavljača komercijalnog špijunskog softvera. Naziv “Bridge Head”, korišten za komponentu za učitavanje, javlja se u proizvodima koje su razvili NSO Group, Variston, Cytrox i Quadream. Takva terminologija može ukazivati na uticaj ili saradnju među ovim entitetima, iako ne mora značiti njihovo direktno učešće u kampanji LANDFALL.

Istraživači su primijetili i potencijalne veze sa grupom Stealth Falcon, kao i moguće povezanosti sa proizvođačem špijunskog softvera Variston, koji je navodno djelovao iz Barselone prije nego što je prestao sa radom početkom 2025. godine. Ove asocijacije otvaraju mogućnost postojanja šire mreže ili ekosistema unutar kojeg LANDFALL zlonamjernog softvera funkcioniše.

Infrastruktura kampanje oslanja se na kombinaciju čvrsto kôdiranih podrazumijevanih vrijednosti i šifrovanog JSON objekta ugrađenog u sam softver. Takav pristup konfiguraciji obezbjeđuje fleksibilnost i prilagodljivost, omogućavajući zlonamjernom softveru da se prilagođava promjenljivim okruženjima i izbjegava otkrivanje od strane bezbjednosnih sistema.

 

Pripisivanje odgovornosti i usmjeravanje napada

Pripisivanje odgovornosti za kampanju LANDFALL trenutno nije moguće, jer sigurnosni istraživači ne mogu sa sigurnošću da je povežu sa bilo kojom poznatom prijetećom grupom ili dobavljačima špijunskog softvera. Ova dvosmislenost naglašava izazove sa kojima se suočavaju stručnjaci za bezbjednost u pripisivanju sajber napada, naročito kada je riječ o naprednim kampanjama koje koriste složene obrasce sajber napada.

Uprkos nesigurnosti, istraživanja su identifikovala potencijalne mete za LANDFALL kampanju u Iraku, Iranu, Turskoj i Maroku. Ove zemlje se nalaze na presjeku regionalnih sukoba i geopolitičkih tenzija, što ih čini pogodnim ciljevima za operacije nadzora.

Upotreba konvencija imenovanja dobavljača komercijalnog špijunskog softvera može pružiti tragove o ciljevima kampanje ili namjeravanim žrtvama. Ipak, bez dodatnih podataka teško je utvrditi da li su imena odabrana nasumično ili imaju poseban značaj u kontekstu LANDFALL zlonamjernog softvera.

Obrasci infrastrukture ukazuju na moguću povezanost sa operacijama grupe Stealth Falcon, koja potiče iz Ujedinjenih Arapskih Emirata. Međutim, ova veza može samo sugerisati potencijalnu povezanost između LANDFALL kampanje i drugih poznatih aktera iz regiona, bez jasnog dokaza o direktnoj vezi.

Nedostatak preciznog povezivanja kampanje LANDFALL ističe potrebu za daljim istraživanjem njenog porekla i motivacija. Pored tehničke analize, istraživači naglašavaju važnost razumijevanja šireg konteksta u kojem se odvijaju sajber napadi, uključujući regionalne sukobe, geopolitičke tenzije i druge faktore koji mogu uticati na izbor meta i taktika zlonamjernih aktera.

 

UTICAJ

Sajber prijetnja LANDFALL identifikovana je kao ozbiljna briga za mobilnu bezbjednost, sa dalekosežnim posljedicama i za korisnike i za organizacije. Sposobnost ovog iskorištavanja da ugrozi uređaje bez ikakve interakcije korisnika predstavlja značajan rizik po integritet podataka i privatnost. Prikrivena priroda napada bez klika dodatno otežava otkrivanje, omogućavajući zlonamjernim akterima da neprimjetno preuzmu kontrolu nad ciljanim uređajima.

Posljedice LANDFALL zlonamjernog softvera su višestruke i obuhvataju lični i organizacioni nivo. Korisnici se mogu suočiti sa neovlaštenim pristupom osjetljivim informacijama, uključujući poruke, pozive, podatke o lokaciji i korištenje kamere ili mikrofona. Time se ugrožava povjerljivost, integritet i dostupnost kritične imovine. Dodatnu zabrinutost izaziva činjenica da su u napadima uključene popularne komunikacione platforme poput WhatsApp, što direktno pogađa privatnost korisnika.

Organizacije se suočavaju sa složenim izazovima u ublažavanju ovih rizika, jer se uticaj LANDFALL zlonamjernog softvera može osjetiti u različitim domenima. IT infrastruktura, skladištenje osjetljivih podataka i uređaji zaposlenih postaju mete eksploatacije. Ekonomske posljedice uspješnog napada mogu biti ozbiljne, uključujući gubitke zbog kompromitovane intelektualne svojine, štetu po reputaciju i potencijalne regulatorne kazne.

Incident naglašava stalno nadmudrivanje između stručnjaka za digitalnu bezbjednost i naprednih zlonamjernih aktera. Kako akteri kontinuirano prilagođavaju svoje taktike da bi izbjegli otkrivanje, organizacije moraju ostati budne i proaktivne u praćenju prijetnji. To zahtijeva stalno unapređivanje mjera zaštite kako bi se održala prednost nad novim tehnikama sajber špijunaže.

Uticaj kampanje LANDFALL ne ograničava se samo na neposredne posljedice, već ima i dugoročne implikacije na mobilni ekosistem u cjelini. Široko rasprostranjeno oslanjanje na komunikacione platforme stvara okruženje pogodno za eksploataciju od strane zlonamjernih aktera. Kako korisnici postaju sve zavisniji od ovih usluga, nenamjerno se izlažu novim rizicima koji prijete njihovoj bezbjednosti i privatnosti.

 

ZAKLJUČAK

Komercijalni špijunski softver odnosi se na programe dizajnirane za prikupljanje osjetljivih informacija, koje organizacije ili vlade često koriste u svrhu nadzora pojedinaca ili drugih entiteta. Špijunski softver LANDFALL predstavlja značajan primjer takvih alata, posebno prilagođen za Samsung Galaxy uređaje i vjerovatno korišten u ciljanim aktivnostima na Bliskom istoku.

Primarna funkcija LANDFALL zlonamjernog softvera jeste prikupljanje podataka, ali njegove mogućnosti prevazilaze samu špijunažu. Može manipulisati sistemskim datotekama, ubrizgavati zlonamjerni kod u legitimne aplikacije i mijenjati podešavanja uređaja bez znanja ili pristanka korisnika. Ovaj nivo sofisticiranosti naglašava složenost savremenih špijunskih prijetnji.

Upotreba komercijalnog špijunskog softvera poput LANDFALL zlonamjernog softvera izaziva ozbiljnu zabrinutost u vezi sa pravima na privatnost i implikacijama po nacionalnu bezbjednost. Kako ovi alati postaju sve napredniji, neophodno je razvijati robusne kontramjere koje mogu efikasno ublažiti njihov uticaj.

Dizajn LANDFALL zlonamjernog softvera ukazuje na visok stepen prilagođavanja određenim ciljevima ili regionima. Takav pristup odražava evoluciju špijunskih prijetnji, gdje zlonamjerni akteri stalno mijenjaju taktike kako bi izbjegli otkrivanje i povećali efikasnost.

Analiza kampanje LANDFALL ističe potrebu za unapređenjem sajber bezbjednosti na različitim platformama i u industrijama. Kako se komercijalni špijunski softver razvija, tako se mora razvijati i odbrana od ovih prijetnji. Samo postojanje LANDFALL zlonamjernog softvera naglašava važnost kontinuiranog istraživanja novih vektora prijetnji i razvoja efikasnih kontramjera, što podrazumijeva saradnju između vlada, industrijskih aktera i istraživača bezbjednosti kako bi se ostalo ispred evoluirajućih taktika špijunaže.

 

PREPORUKE

Zaštita od kampanje LANDFALL zahtijeva višeslojan pristup koji uključuje i pojedinačne korisnike i organizacije koje preduzimaju proaktivne korake kako bi zaštitile svoje mobilne uređaje:

1. Jedan od najefikasnijih načina za sprječavanje eksploatacije od strane LANDFALL zlonamjernog softvera jeste osigurati da svi Samsung pametni telefoni rade sa instaliranim najnovijim bezbjednosnim ispravkama. Ovo uključuje primjenu ispravki za ranjivosti kao što je CVE-2025-21042, koju je zlonamjerni softver iskoristio. Redovna provjera i instaliranje ažuriranja softvera pomoći će u ublažavanju potencijalnih rizika.
2. Poznato je da LANDFALL iskorištava ranjivost nultog dana u bibliotekama za obradu slika koristeći zlonamjerne slike poslate putem aplikacija za razmjenu poruka poput WhatsApp. Da bi se spriječila ova vrsta napada, korisnici bi trebalo da onemoguće automatsko preuzimanje medija na svojim mobilnim uređajima. Ovaj jednostavan korak može značajno smanjiti rizik od infekcije sprečavanjem izvršavanja sumnjivih datoteka bez intervencije korisnika.
3. Za korisnike Android operativnog sistema, aktiviranje “Napredne zaštite” je preporučena bezbjednosna mjera koja pruža dodatni sloj zaštite od zlonamjernog softvera i drugih prijetnji. Iako ova funkcija možda nije posebno usmjerena na LANDFALL, može pomoći u sprječavanju sličnih vrsta napada u budućnosti.
4. Slično tome, za korisnike Apple iPhone ili iPad uređaja sa iOS operativnim sistemom, aktiviranje “Režima zaključavanja” predstavlja preporučeno bezbjednosno podešavanje koje pruža dodatnu zaštitu od zlonamjernog softvera i drugih prijetnji. Iako ova funkcija možda nije posebno usmjerena na LANDFALL, može doprinijeti sprječavanju sličnih napada u budućnosti.
5. Instaliranje i redovno ažuriranje renomiranog antivirusnog softvera na mobilnim uređajima može pružiti dodatni sloj zaštite od poznatih i nepoznatih prijetnji, uključujući LANDFALL. Korisnici bi trebalo da izaberu dobro cijenjeno bezbjednosno rješenje koje je posebno dizajnirano za operativni sistem njihovog uređaja.
6. Budite oprezni pri otvaranju slika iz nepouzdanih izvora: Kao što je ranije pomenuto, LANDFALL iskorištava ranjivosti u bibliotekama za obradu slika koristeći zlonamjerno kreirane slike poslate putem aplikacija za razmjenu poruka poput WhatsApp. Korisnici bi trebalo da budu izuzetno oprezni prije otvaranja bilo kojih slika primljenih od nepoznatih pošiljalaca i da izbjegavaju njihovo pokretanje ako je moguće.
7. U slučaju infekcije ili drugog bezbjednosnog incidenta, redovno pravljenje rezervnih kopija može pomoći u smanjenju gubitaka omogućavajući korisnicima da vrate sadržaj svog uređaja iz poznatog dobrog stanja. Korisnici treba da se uvjere da su napravili rezervne kopije svih važnih datoteka i podataka na bezbjedno eksterno rješenje za skladištenje.
8. Korištenje jedinstvenih, složenih lozinki za svaki nalog je neophodno za sprječavanje neovlaštenog pristupa osjetljivim informacijama. Pored toga, omogućavanje autentifikaciju u dva koraka (eng. two-factor authentication – 2FA) kad god je to moguće može pružiti dodatni sloj bezbjednosti zahvaljujući od korisnika da potvrde svoj identitet koristeći drugi oblik provjere, kao što je kôd poslat putem SMS poruke ili formiran putem aplikacije za autentifikaciju.
9. Korisnici treba redovno da prate svoje mobilne uređaje zbog bilo kakve neobične aktivnosti, kao što su povećano pražnjenje baterije, spore performanse ili neočekivane promjene u podešavanjima. Ako se otkrije sumnjivo ponašanje, korisnici treba odmah da se isključe sa interneta i potraže pomoć kvalifikovanog stručnjaka za bezbjednost radi dalje istrage.
10. Kada komuniciraju sa drugima putem aplikacija za razmjenu poruka kao što su WhatsApp, Signal ili Telegram, korisnici mogu da se odluče za bezbjednije alternative koje pružaju enkripciju od kraja do kraja (E2EE) poruka i datoteka koje se razmjenjuju između strana. Ovo pomaže u sprječavanju prisluškivanja od strane trećih strana koje mogu da prate razgovor.
11. Javnim pristupnim tačkama često nedostaju robusne bezbjednosne mjere za zaštitu korisničkih podataka, što ih čini atraktivnom metom za zlonamjerne aktere koji traže osjetljive informacije ili pristup uređajima povezanim preko ovih mreža. Korisnici bi trebalo da izbjegavaju pristup ličnim nalozima ili obavljanje finansijskih transakcija preko neobezbijeđenih javnih veza kad god je to moguće.
12. Kada koriste mobilne pristupne tačke ili druge potencijalno ugrožene mrežne veze, korisnici mogu zaštititi svoje podatke omogućavanjem softvera za virtuelne privatne mreže (eng. virtual private network – VPN) na svom uređaju prije uspostavljanja digitalnih veze preko ovih mreža.
13. Redovno ažuriranje i samog mobilnog operativnog sistema i instaliranih aplikacija pomoći će da se sve poznate bezbjednosne ranjivosti blagovremeno otklone, smanjujući izloženost prijetnjama poput LANDFALL.
14. Prilikom dijeljenja datoteke sa drugima putem rješenja za skladištenje u oblaku ili drugih digitalnih platformi, korisnici bi trebalo da se odluče za renomirane pružaoce usluga koji nude robusno šifrovanje i kontrolu pristupa kako bi spriječili neovlaštene strane da pristupe osjetljivim podacima koji se dijele putem ovih kanala.
15. U slučaju stvarnog ugrožavanja bezbjednosti koje uključuje LANDFALL ili bilo koji drugi zlonamjerni softver, dobro definisani plan odgovora na sajber prijetnju pomoći će u smanjenju štete osiguravanjem da se svi neophodni koraci preduzmu brzo i efikasno kako bi se situacija obuzdala i ublažila.
16. Edukacija korisnika o osnovnim bezbjednosnim mjerama koje mogu preduzeti da bi se zaštitili od prijetnji poput LANDFALL je ključna za održavanje bezbjednog okruženja u organizaciji ili zajednici pojedinaca koji koriste dijeljene uređaje.
17. Redovne procjene ukupnog bezbjednosnog stanja mobilnih uređaja unutar organizacije identifikovanjem potencijalnih ranjivosti kroz simulirane napade može pomoći u identifikaciji oblasti u kojima mogu biti potrebne dodatne mjere zaštite kako bi se spriječilo iskorištavanje od strane prijetnji poput LANDFALL.
18. Praćenje koji se specifični modeli, verzije operativnih sistema i instalirani softver koriste u organizaciji može pomoći u lakšem identifikovanju potencijalnih ranjivosti prilikom procjene ukupne izloženosti riziku od prijetnji poput LANDFALL.

Prateći ove preporuke, pojedinci i organizacije mogu značajno smanjiti svoju ranjivost na ovu vrstu prijetnje i održati bezbjednosni položaj neophodan za sprječavanje eksploatacije od sličnih napada u budućnosti.