האקרים ריגלו באמצעות טלפוני סמסונג: "דמיון ל-NSO ודומותיה"

נחשפה רוגלה בשם Landfall, שניצלה פגם לא מתוקן במערכת אנדרואיד של סמסונג (Samsung) ועקבה אחר קורבנות במהלך רוב שנת 2024 ובתחילת 2025. את הרוגלה חשפו חוקרי אבטחה ביחידה 42 של פאלו אלטו (Palo Alto).

לפי החוקרים, ההאקרים השתמשו בתמונות שהוטמנו ברוגלה, כדי לעקוב אחר טלפוני גלאקסי (Galaxy) של סמסונג, בלא צורך בלחיצות מצד הקורבנות.

לדברי החוקרים, פיתוח הרוגלה התחיל כסדרה של קבצי תמונה מוסווים, וגדל בסופו של דבר למבצע מעקב ארוך טווח. "הרוגלה חושפת כיצד האקרים יכולים להשתמש בפגם בודד בספריות ניתוח תמונות – כדי לעקוף את גבולות האבטחה המסורתיים ולעשות זאת בלא שתידרש ולו לחיצה אחת מצד המשתמש. המקרה מדגיש את החשיבות של האיומים הניידים, המתפתחים במהירות".

על פי החוקרים, ההאקרים ניהלו במשך חודשים "קמפיין ריגול שקט, אך מתקדם מאוד, אשר כוון למשתמשי גלאקסי 'נבחרים'. המסע כלל ניצול מתוחכם במיוחד: הוא הדביק מכשירים מבלי שמשתמשים ינקטו בפעולה כלשהי".

סמסונג תיקנה את הפגיעות, שסומנה כ-CVE-2025-21042, ועדכנה על כך כבר באפריל 2025. אלא שזו נותרה פעילה מספיק זמן, כדי לאפשר מעקב ממוקד אחריה בכמה מדינות. החוקרים עקבו אחר מבצעים מוגבלים וספציפיים במזרח התיכון. זהות השחקנים מאחורי המתקפות עדיין לא ידועה.

Unit 42 uncovered LANDFALL, previously unknown Android spyware that exploited a zero-day vulnerability CVE-2025-21042 in Samsung Android’s image processing library. This is the first public analysis of the campaign and the implant. Read more: https://t.co/Tv6rnxRklp pic.twitter.com/IJv9iOtROG

— Unit 42 (@Unit42_Intel) November 7, 2025

"אחד הניצולים המורכבים ביותר של אנדרואיד בשנים האחרונות"

"Landfall מסמנת את אחד הניצולים המורכבים ביותר של אנדרואיד בשנים האחרונות", נכתב. "שרשרת הנוזקות התחילה בקובצי תמונה דיגיטליים שעברו מניפולציה: קבצי DNG ששונו במיוחד בהתבסס על פורמט TIFF. התוקפים הטמיעו בספריות נוזקות שניצלו פגמים מסוג 'יום אפס' ברכיב עיבוד התמונה של סמסונג, וזה טיפל בקבצים באופן אוטומטי. כאשר הגיעה תמונה מזוהמת, מעבד תמונת הרקע חילץ וביצע את המטען הנסתר – ועשה זאת בלא כל אינטראקציה של המשתמש. ברגע שנכנסה למכשיר, הנוזקה שינתה והרחיבה את מדיניות הגישה, והעניקה לעצמה הרשאות מורחבות. כך היא יכלה להגיע לנתונים מסווגים או פרטיים – ולעקוף את 'ארגז החול'. מפעילי Landfall יכולים למשוך מידע רחב מהטלפונים, כולל מזהי מכשירים, יישומים מותקנים, אנשי קשר, ספריות קבצים ונתוני דפדפן. הרוגלה יכולה אפילו להפעיל מיקרופונים ומצלמות מרחוק".

📲 @SamsungMobile patched a flaw (CVE-2025-21042) used to deploy LANDFALL Android spyware.
Attackers exploited the zero-day via malicious DNG images sent over WhatsApp, targeting Galaxy S22-S24 devices.

Stay aware. Follow @TechNadu for factual cybersecurity coverage.… pic.twitter.com/SOPKPhqeJa

— TechNadu (@TechNadu) November 10, 2025

לפי נתונים פורנזיים שנבדקו בידי החוקרים, הקמפיין השפיע על דגמי גלקסי מ-S22 עד S24, כמו גם ניידים מתקפלים, כמו Z Flip 4 ו-Z Fold 4. החוקרים מצאו את הרוגלה פעילה בעיראק, איראן, טורקיה ומרוקו, "מה שמרמז על מטרות שנבחרו בקפידה – ולא על הפצה המונית", כתבו.

לפי יחידה 42, "הקמפיין החל לאחר שחוקרים שחקרו ימי אפס נפרדים ב-Apple iOS וב-ווטסאפ (WhatsApp), הבחינו בדפוס של מתקפות מבוססות-תמונה. תוך כדי ניתוח, הם גילו מקבץ של תמונות פגומות, ותמונות אלו הובילו – בסופו של דבר – לזיהוי של Landfall".

למרות שזהות התוקפים אינה ידועה, החוקרים ציינו כי "יש חפיפה בסגנון הקידוד, שמות השרתים והתנהגות התשתית. אלה תואמים לרוגלות שפותחו על ידי קבלני מעקב מבוססים כמו קבוצת NSO ו-וריסטון (Variston). הראיות הטכניות מצביעות על פלטפורמת ריגול מהונדסת מסחרית – ולא על ערכת כלי פריצה פלילית וחד-פעמית. הרוגלה כוללת אמצעי התחמקות, מה שמרמז על צוות פיתוח מקצועי, עם גישה למשאבים משמעותיים".

סמסונג אישרה כי עדכון אפריל 2025 מפחית את הפגיעות בגרסאות אנדרואיד 13 עד 15. עם זאת, "כיוון ש-Landfall עלולה לשנות תצורות ברמת המערכת, הסרתה מאתגרת גם לאחר החלת תיקון התוכנה. משתמשים שלא התקינו את התיקון, נותרו בסיכון למתקפות דומות, אם שחקנים ישתמשו בניצול שוב".