شناسایی جدید یک جاسوس‌افزار اندرویدی

به گزارش کارگروه حملات سایبری خبرگزاری سایبربان، به گفته‌ی آنان، این حملات عمدتاً در خاورمیانه متمرکز بوده‌اند.

این جاسوس‌افزار اندرویدی که لندفال (LANDFALL) نام گرفته، از یک آسیب‌پذیری «روز صفر» (یعنی نقصی که پیش‌تر مستند نشده بود) در کتابخانه‌های پردازش تصویر گوشی‌های گلکسی سوءاستفاده کرده است.

به نظر می‌رسد این بدافزار از طریق پیام‌رسان واتساپ برای قربانیان ارسال شده تا داده‌های آنان را استخراج کرده و فعالیت‌هایشان را زیر نظر بگیرد.

بر اساس گزارش پژوهشگران واحد 42 (Unit 42) از شرکت پالو آلتو نتوورکس (Palo Alto Networks)، لندفال که احتمالاً از نوع بدون کلیک (zero-click) بوده، امکان ضبط صدا از میکروفون، ردیابی موقعیت مکانی، ضبط تماس‌ها، جمع‌آوری عکس‌ها و پیامک‌ها، و استخراج فهرست مخاطبان و تاریخچه تماس‌ها را فراهم می‌کرده است.

جاسوس‌افزارهای بدون کلیک برای نفوذ به دستگاه، نیازی به اقدام مستقیم کاربر ندارند.

این نقص امنیتی در آوریل ۲۰۲۵ برطرف شد و با شناسه CVE-2025-21042 ثبت گردید.

هکرها با ارسال تصاویر ناقص دیجیتال نگاتیو (Digital Negative (DNG)) که نوعی فایل تصویری مبتنی بر فرمت TIFF است، قربانیان را هدف قرار می‌دادند.

به گفته‌ی واحد 42، این تصاویر شامل «یک آرشیو زیپ (ZIP) جاسازی‌شده در انتهای فایل» بودند که از این باگ بهره‌برداری می‌کرد.

به گفته‌ی پژوهشگران، این کارزار با «الگوهای فنی» و زیرساخت‌هایی مشابه عملیات جاسوس‌افزارهای تجاری در خاورمیانه انجام شده است، که می‌تواند نشان‌دهنده‌ی ارتباط احتمالی با تولیدکنندگان خصوصی در بخش تجاری باشد.

بر اساس گزارش واحد 42، فروشنده و دولت پشتیبان لندفال هنوز ناشناخته‌اند و مشخص نیست چه تعدادی از افراد هدف قرار گرفته‌اند.

پژوهشگران معتقدند این کارزار برای جاسوسی طراحی شده است.

ایتای کوهن، پژوهشگر ارشد در واحد 42، بیان کرد:

این بدافزار به‌صورت گسترده پخش نشده بود، بلکه یک حمله‌ی دقیق و هدفمند بود. زیرساخت پیچیده، طراحی خاص بارگذاری (payload) و استفاده از آسیب‌پذیری روز صفر، همگی نشانه‌های یک عملیات با انگیزه‌ی جاسوسی هستند، نه یک کمپین مالی یا مصرفی. الگوهای ثبت دامنه و زیرساخت فرماندهی و کنترل (C2) لندفال شباهت زیادی به گروه هکری استیلث فالکون (Stealth Falcon) دارد که ارتباطات قوی‌ای با امارات متحده عربی دارد. استیلث فالکون پیش‌تر با ده‌ها پرونده جاسوس‌افزار در کشورهای آفریقایی و خاورمیانه مرتبط بوده است.

در این گزارش آمده است که هیچ «هم‌پوشانی مستقیم» میان کارزارهای موبایلی لندفال و فعالیت‌های مبتنی بر رایانه‌ی استیلث فالکون وجود ندارد، و همچنین «پیوند قوی مستقیمی» میان آن‌ها دیده نمی‌شود؛ با این حال، شباهت‌ها قابل توجه و شایان بررسی‌اند.

به گفته‌ی پژوهشگران، نمونه‌های لندفال که یافت شده‌اند در سال‌های ۲۰۲۴ و ۲۰۲۵ به مخزن ویروس توتال (VirusTotal) ارسال شده‌اند و این امر نشان‌دهنده‌ی وجود اهداف احتمالی در عراق، ایران، ترکیه و مراکش است.

همچنین تیم آمادگی سایبری ترکیه، موسوم به USOM، آدرس‌های آی پی (IP) مورد استفاده در سرورهای فرماندهی و کنترل لندفال را به‌عنوان مخرب گزارش داده است که می‌تواند نشانگر وجود قربانیان ترکیه‌ای باشد.

به گفته‌ی پژوهشگران، این آسیب‌پذیری در سپتامبر ۲۰۲۴ به‌صورت خصوصی به سامسونگ گزارش شد، اما این شرکت تا آوریل ۲۰۲۵ به‌روزرسانی میان‌افزاری لازم را برای رفع آن منتشر نکرد.

سامسونگ در پاسخ به درخواست اظهارنظر، واکنشی نشان نداده است.

مدل‌های هدف قرار گرفته شامل گلکسی زد فولد 4 (Galaxy ZFold4)، گلکسی زد فلیپ 4 (Galaxy ZFlip4) و سری‌های اس 22 (S22)، اس 23 (S23) و اس 24 (S24) بوده‌اند.