Trước bản vá tháng 4 năm 2025, điện thoại Samsung có một lỗ hổng trong thư viện xử lý hình ảnh. Đây là một cuộc tấn công không cần nhấp chuột vì người dùng không cần khởi chạy bất cứ thứ gì. Khi hệ thống xử lý hình ảnh độc hại để hiển thị, nó sẽ trích xuất các tệp thư viện đối tượng chia sẻ từ tệp ZIP để chạy phần mềm gián điệp Landfall. Phần mềm độc hại này cũng sửa đổi chính sách SELinux của thiết bị để cấp cho Landfall quyền hạn mở rộng và quyền truy cập dữ liệu.

 

Cách Landfall khai thác điện thoại Samsung. Nguồn: Unit 42

Các tập tin bị nhiễm dường như đã được gửi đến mục tiêu thông qua các ứng dụng nhắn tin như WhatsApp. Unit 42 lưu ý rằng mã của Landfall tham chiếu đến một số điện thoại Samsung cụ thể, bao gồm Galaxy S22, Galaxy S23, Galaxy S24, Galaxy Z Flip 4 và Galaxy Z Fold 4. Sau khi kích hoạt, Landfall sẽ kết nối với máy chủ từ xa để lấy thông tin cơ bản về thiết bị. Sau đó, những kẻ điều hành có thể trích xuất một lượng lớn dữ liệu, chẳng hạn như ID người dùng và phần cứng, các ứng dụng đã cài đặt, danh bạ, bất kỳ tập tin nào được lưu trữ trên thiết bị và lịch sử duyệt web. Nó cũng có thể kích hoạt camera và micro để theo dõi người dùng.

Việc loại bỏ phần mềm gián điệp này cũng không hề dễ dàng. Do khả năng thao túng các chính sách SELinux, nó có thể xâm nhập sâu vào phần mềm hệ thống. Nó cũng bao gồm một số công cụ giúp né tránh sự phát hiện. Dựa trên các báo cáo trên VirusTotal, Unit 42 tin rằng Landfall đã hoạt động vào năm 2024 và đầu năm 2025 tại Iraq, Iran, Thổ Nhĩ Kỳ và Morocco. Công ty này cho rằng lỗ hổng bảo mật có thể đã tồn tại trong phần mềm của Samsung từ Android 13 đến Android 15.

Unit 42 cho biết một số phương thức đặt tên và phản hồi máy chủ có điểm tương đồng với phần mềm gián điệp công nghiệp được phát triển bởi các công ty tình báo mạng lớn như NSO Group và Variston. Tuy nhiên, họ không thể trực tiếp liên kết Landfall với bất kỳ nhóm cụ thể nào. Mặc dù cuộc tấn công này nhắm mục tiêu rất cao, nhưng các chi tiết hiện đã được công khai, và các tác nhân đe dọa khác giờ đây có thể sử dụng các phương pháp tương tự để truy cập vào các thiết bị chưa được vá lỗi. Bất kỳ ai sử dụng điện thoại Samsung được hỗ trợ nên đảm bảo rằng thiết bị của họ đã được cập nhật bản vá tháng 4 năm 2025 trở lên.