"Landfall" Casus Proqramı: Samsung Galaxy Telefonlarında Sıfır-Gün Zəifliyindən İstifadə Edərək Gizli Casusluq

Təhlükəsizlik mütəxəssisləri Samsung Galaxy telefonlarını hədəfləyən və təxminən bir il davam edən casusluq kampaniyası zamanı fəaliyyət göstərən yeni Android casus proqramını aşkar ediblər. Palo Alto Networks-ün "Unit 42" qrupunun araşdırmaçıları tərəfindən "Landfall" adlandırılan bu proqram ilk dəfə 2024-cü ilin iyulunda aşkarlanıb. Bu casus proqramı fəaliyyəti zamanı Samsung-a məlum olmayan, təhlükəsizlik sahəsində sıfır-gün zəifliyi kimi tanınan bir qüsurdan istifadə edirdi. Bu zəiflik (CVE-2025-21042 kodu ilə izlənilir) 2025-ci ilin aprelində nəhayət ki, Samsung tərəfindən aradan qaldırılıb, lakin bu hücum kampaniyasının detalları əvvəllər ictimaiyyətə açıqlanmamışdı.

Unit 42 tədqiqatçıları bildirirlər ki, Landfall zəifliyindən istifadə etmək üçün hədəfin telefonuna zərərli şəklin göndərilməsi kifayət idi; bu, çox güman ki, mesajlaşma proqramları vasitəsilə baş verirdi. Əsas diqqət çəkən məqam odur ki, bu hücumlar qurban tərəfindən hər hansı bir qarşılıqlı fəaliyyət tələb etmədən baş tuta bilərdi. Landfall, digər hökumət casus proqramları kimi, geniş nəzarət funksiyalarına malikdir. O, qurbanın fotosu, mesajları, kontaktları və zəng qeydləri daxil olmaqla bütün məlumatlarına çıxış əldə edir, həmçinin cihazın mikrofonunu dinləyə və şəxsin dəqiq yerini izləyə bilir. Mütəxəssislər aşkar ediblər ki, casus proqramın mənbə kodu xüsusi olaraq Galaxy S22, S23, S24 və bəzi Z modellərini hədəf göstərirdi. Zəifliyin Android 13-dən 15-ə qədər olan versiyalarda da mövcud olduğu güman edilir.

Unit 42-nin baş tədqiqatçısı İtay Kohen qeyd edib ki, bu, kütləvi paylanan zərərli proqram deyil, müəyyən şəxslərə qarşı yönəlmiş "dəqiq hücum" idi. Bu da onun kəşfiyyat məqsədi ilə idarə olunduğuna işarə edir. Landfall casus proqramının hansı nəzarət tərəfindən hazırlandığı bəlli olmasa da, hücumların böyük ehtimalla Yaxın Şərq regionunda yaşayan şəxsləri hədəf aldığı düşünülür. Tədqiqat zamanı məlum olub ki, 2024-cü il ərzində və 2025-ci ilin əvvəllərində Landfall nümunələri VirusTotal xidmətinə Mərakeş, İran, İraq və Türkiyədən olan şəxslər tərəfindən yüklənmişdi. Hətta Türkiyənin milli kiber hazırlıq qrupu (USOM) Landfall ilə əlaqəli İP ünvanlardan birini zərərli kimi işarələmişdi ki, bu da Türkiyədəki fərdlərin hədəf ola biləcəyi fərziyyəsini gücləndirir.

Landfall, 2012-ci ildən bəri Əmirlik jurnalistlərinə, fəallarına və dissidentlərinə qarşı hücumlarda adı keçən "Stealth Falcon" adlı məşhur nəzarət təminatçısı ilə eyni rəqəmsal infrastrukturu bölüşür. Baxmayaraq ki, bu əlaqə olduqca maraqlıdır, tədqiqatçılar əldə olunan dəlillərin hücumları konkret bir dövlət müştərisinə aid etmək üçün yetərli olmadığını bildirirlər. Qeyd edək ki, Samsung şirkəti bu casusluq kampaniyası ilə bağlı verilən şərh sorğularına cavab verməyib.