برنامج تجسس جديد استغل ثغرة في هواتف سامسونج لقرابة عام

كشفت أبحاث وحدة أمن المعلومات Unit 42 التابعة لشركة Palo Alto Networks عن حملة تجسّس متقدمة استهدفت عددًا من إصدارات هواتف سامسونج جالاكسي عبر برمجية خبيثة جديدة تحمل اسم LANDFALL، استُخدمت ثغرة "يوم-صفر" في مكتبة معالجة الصور على أجهزة سامسونج قبل إصلاحها في أبريل/نيسان 2025.

وأظهرت التحليلات أن آثار الهجوم بدأت منذ يوليو/تموز 2024، واستهدفت خصوصًا سلسلة S22, S23, S24 إضافة إلى Z Fold4 وZ Flip4.

وعُرِفت الثغرة المستغلة برمز CVE-2025-21042 وقُيّمت درجة خطورتها بـ8.8/10، حيث سمح الخلل الذي يكمن في جزء مسؤول عن فتح الصور للمهاجمين بإرسال صورة مُعَدّة خصيصًا تؤدي إلى تنفيذ أوامر عن بُعد على الجهاز.

وحسب التقرير، اعتمد المهاجمون على صور بصيغة DNG تُرسَل عبر تطبيق واتساب كحامل للهجوم داخل ملف الصورة، ويوُجد أرشيف ZIP مضمّن يحوي مكتبات خبيثة تُستخرج وتُنفَّذ على الجهاز لتنشئ قناة اتصال مع سيرفر تحكّم وبذلك تستمر حملة التجسّس.

ورغم طرح فرضية استغلال "بلا تفاعل/zero‑click" عبر واتساب، لم تظهر أدلة قاطعة على وجود ثغرة إضافية في واتساب نفسه، ما يجعل مسار الـ zero‑click احتمالًا لم يُثبَت بعد.

بعد التثبيت تعمل LANDFALL كأداة تجسّس شاملة تشمل تسجيل الميكروفون وتتبع الموقع وقراءة الصور وجهات الاتصال والرسائل والملفات وسجلات المكالمات، ورفع صلاحياتها لتمديد فترة بقائها على الجهاز، مع قدرة لاحقة على جلب مكوّنات إضافية لتوسيع وظائفها.

وأضاف التقرير أن سامسونج عالجت الثغرة الأولى بتحديث أمني صدر في أبريل 2025، ثم أعلنت لاحقًا في سبتمبر/أيلول 2025 عن ثغرة "يوم‑صفر" أخرى في المكتبة نفسها CVE-2025-21043 بدرجة خطورة مماثلة 8.8 وتمت معالجتها بتحديث سبتمبر.

وحتى الآن لا توجد دلائل تربط الثغرة الثانية بحملة LANDFALL، لكن تكرار العيوب يستدعي القلق ويشير إلى أن مُعالِج الصور كان هدفًا نشطًا للمهاجمين.

كما لم تُعلن جهة رسمية وقوفها وراء الحملة، لكن طريقة إعداد خوادم التحكم وحجز أسماء النطاقات تبدو متسقة مع أساليب مجموعات تجسّس تُنسب في تحليلات سابقة إلى فاعلين مدعومين من دول، مثل مجموعات تُعرف بأسماء مثل Stealth Falcon وFruityArmor، اللتين سبق استهدافهما لصحفيين ونشطاء. ومع ذلك، لا يوجد دليل قاطع يربط أيًا من هذه المجموعات بحملة LANDFALL.