В течение почти года вредоносная программа Landfall тайно следила за пользователями смартфонов Samsung Galaxy, используя ранее неизвестную уязвимость в их операционной системе. Специалисты компании Palo Alto Networks Unit 42 установили, что вредоносный код имел доступ к конфиденциальной информации, включая текстовые сообщения, фотографии и аудиозаписи, записанные через встроенный микрофон.
Распространение вредоносного ПО осуществлялось через специально подготовленные графические файлы, при этом от пользователей не требовалось никаких действий — открытие или взаимодействие с файлом было не нужно. Несмотря на то что первые случаи заражения зафиксированы в июле 2024 года, Samsung устранила уязвимость только в апреле 2025 года.
Исследователь Итай Коэн отметил, что атаки с использованием Landfall были целенаправленными и нацеливались на конкретных людей, а не на массовую аудиторию.
Программа Landfall обладала возможностями кражи фотографий, текстовых сообщений, контактных данных, информации о звонках, активации микрофона и отслеживанию геолокации. Злоумышленники распространяли вредоносное ПО через платформу VirusTotal, используя IP-адреса из Марокко, Ирана, Ирака и Турции. Один из турецких IP-адресов был классифицирован группой USOM как вредоносный.
Анализ кода показал, что модуль был направлен на устройства серий S22, S23, S24 и некоторые модели Z-серии. При этом уязвимость могла затрагивать и другие смартфоны Samsung с операционной системой Android версий 13–15. На данный момент компания Samsung официальных комментариев по результатам расследования не предоставила.
