كشفت وحدة أبحاث الأمن السيبراني “Unit 42” التابعة لشركة “Palo Alto Networks” عن عائلة جديدة من برمجيات التجسس تحمل اسم “LANDFALL”، استهدفت هواتف “أندرويد” من طرازات “سامسونج جالاكسي”، باستخدام أساليب استغلال متقدمة تعتمد على ملفات الصور بصيغة DNG.
وبحسب التقرير، فإن الحملة ظلت نشطة لفترة طويلة دون أن تُكتشف، إذ تعود أقدم العينات إلى يوليوز 2024، واستمرت حتى فبراير 2025، قبل أن تُصدر سامسونج تحديثا أمنيا في أبريل 2025 لإصلاح الثغرة الرئيسية التي تم استغلالها.
التحليل الفني أظهر أن LANDFALL كانت مخبأة داخل ملفات DNG معدلة تحتوي على أرشيف مضمّن يضم مكونات برمجية يتم استخراجها وتشغيلها داخل النظام، مما يسمح بتنفيذ التعليمات الخبيثة على الأجهزة المستهدفة. وتشير البيانات إلى أن البرمجية كانت تُوزع عبر تطبيقات المراسلة، خصوصا “واتساب”، من خلال ثغرة أمنية مصنفة تحت رقم CVE-2025-21042 في مكتبة معالجة الصور الخاصة بسامسونج.
وتميزت LANDFALL بقدرات واسعة لجمع المعلومات والمراقبة، مثل تسجيل المكالمات وتشغيل الميكروفون وتتبع الموقع وسحب الصور وجهات الاتصال وسجلات المكالمات، إضافة إلى إمكانية تحميل وحدات إضافية وتجاوز أنظمة الحماية مثل SELinux، ما يمنحها قدرة على رفع الامتيازات والبقاء داخل النظام لفترات طويلة.
كما استخدمت البرمجية آليات متطورة لتفادي التحليل الأمني، منها تعطيل أدوات المراقبة كـ Frida وXposed، إلى جانب التواصل مع خوادم قيادة وتحكم باستخدام قنوات مشفرة وعناوين IP متغيرة.
واستهدفت الحملة نماذج من سلاسل Galaxy S22 وS23 وS24، وأجهزة Z Fold4 وZ Flip4، مع وجود مؤشرات على نشاطها في عدة دول بالشرق الأوسط، بينها العراق وإيران وتركيا والمغرب، حسب بيانات VirusTotal.
وجاء اكتشاف LANDFALL في سياق موجة من الهجمات التي تستغل ثغرات معالجة ملفات DNG عبر أنظمة مختلفة، إذ عالجت Apple ثغرة مشابهة في غشت 2025، بينما أعلن واتساب عن ثغرة أخرى استُغلت في هجمات دون تفاعل المستخدم. سامسونج بدورها أصدرت تحديثين أمنيين في أبريل وشتنبر 2025 لمعالجة الثغرات المرتبطة بالحملة.
ولم تحدد Unit 42 الجهة المسؤولة عن تطوير البرمجية، لكنها صنفت النشاط تحت الرمز CL-UNK-1054، مشيرة إلى تشابه جزئي مع بنى تحتية استخدمت في هجمات سابقة بالمنطقة دون إثبات صلة مباشرة.
ودعت الوحدة مستخدمي أجهزة سامسونج إلى تثبيت أحدث التحديثات الأمنية وتجنب فتح ملفات DNG أو وسائط من مصادر مجهولة، مع مراجعة أذونات التطبيقات والتواصل مع فرق الاستجابة للحوادث في حال الاشتباه في وجود اختراق.
ويؤكد التقرير أن اكتشاف LANDFALL يعكس خطورة الهجمات الخفية التي تستغل ثغرات غير معروفة، ويبرز أهمية التنسيق بين الشركات الأمنية والمصنّعين لتسريع الكشف والحماية من تهديدات التجسس المتقدمة التي تستهدف المستخدمين في مختلف أنحاء العالم.
