Istraživači iz sigurnosnog tima Unit 42 (u sklopu Palo Alto Networksa) otkrili su do sada nepoznati špijunski softver za Android pod nazivom Landfall. Utvrđeno je da je korišten za ciljane napade na Samsung Galaxy uređaje na području Bliskog istoka, pri čemu je napadačima omogućavao širok spektar nadzora nad žrtvama: snimanje zvuka putem mikrofona, praćenje lokacije, pristup fotografijama, listama kontakata i evidenciji poziva.
Landfall se širio iskorištavanjem ranije nepoznate „zero-day“ ranjivosti (CVE-2025-21042) u Samsungovoj biblioteci za obradu slika. Špijunski softver bio je sakriven u posebno prerađenim slikovnim datotekama koje su, prema svemu sudeći, slane preko WhatsAppa. Unit 42 naglašava da u samoj WhatsApp aplikaciji nije pronađena nikakva ranjivost.
Ranjivost je aktivno iskorištavana mjesecima prije nego što ju je Samsung zakrpao u aprilu 2025. Tek sada je detaljno analizirano kako je napad funkcionisao i kakav je softver korišten. Sve ukazuje na to da se radilo o „zero-click“ napadu, gdje je žrtvi bilo dovoljno samo da primi sliku bez ikakvog otvaranja ili klika.
Istraživanje pokazuje da je Landfall kampanja bila aktivna još sredinom 2024. godine.
Kritična ranjivost (CVE-2025-21042) zakrpana je u aprilu 2025., tako da korisnici Samsung uređaja koji redovno ažuriraju softver trenutno nisu u opasnosti. Samsung je u septembru popravio još jednu sličnu „zero-day“ ranjivost (CVE-2025-21043) u istoj biblioteci, dodatno pojačavši sigurnost.
Otkriće Unita 42 daje rijedak uvid u sofisticiranu špijunsku operaciju koja je mjesecima ostala neotkrivena. Iako autori spywarea nisu identificirani, kampanja pokazuje tehničke sličnosti s drugim komercijalnim špijunskim operacijama na Bliskom istoku, što upućuje na mogućeg privatnog aktera specijaliziranog za razvoj ovakvih alata.