«کمپین جاسوسی دقیق» ماهها پیش از رفع آسیبپذیری آغاز شده بود
یک خانواده بدافزار جاسوسی اندرویدی که پیش از این ناشناخته بود و Landfall نام دارد، با بهرهبرداری از یک آسیبپذیری روز صفر در دستگاههای گلکسی سامسونگ، برای نزدیک به یک سال فعال بود. این بدافزار کدهای نظارتی را نصب میکرد که قادر به ضبط تماسها، ردیابی موقعیت مکانی و جمعآوری عکسها و لاگها بودند، تا اینکه سرانجام سامسونگ در ماه آوریل این نقص را برطرف کرد.
به گفته محققان Palo Alto Networks Unit 42 که این بدافزار جاسوسی تجاری را کشف کرده و جزئیات حملات را در گزارشی در روز جمعه فاش کردند، این کمپین نظارتی احتمالاً در ژوئیه ۲۰۲۴ آغاز شده و از آسیبپذیری CVE-2025-21042 سوءاستفاده کرده است. این باگ حیاتی در کتابخانه پردازش تصویر سامسونگ وجود دارد و بر دستگاههای گلکسی با نسخههای اندروید ۱۳، ۱۴، ۱۵ و ۱۶ تأثیر میگذارد.
ایتای کوهن، پژوهشگر ارشد اصلی در Unit 42، به The Register گفت: «این یک کمپین جاسوسی دقیق بود که دستگاههای خاصی از گلکسی سامسونگ را در خاورمیانه هدف قرار داده بود و قربانیان احتمالی در عراق، ایران، ترکیه و مراکش بودهاند.» او افزود: «استفاده از آسیبپذیریهای روز صفر، زیرساخت سفارشی و طراحی ماژولار محموله مخرب، همگی نشاندهنده یک عملیات با انگیزه جاسوسی است.»
به گفته این کارآگاهان سایبری، بهرهبرداری از CVE-2025-21042 احتمالاً شامل ارسال یک تصویر دستکاریشده به دستگاه قربانی از طریق یک اپلیکیشن پیامرسان در یک حمله «بدون کلیک» (zero-click) بوده است؛ به این معنی که آلوده کردن گوشیهای هدف به هیچ تعاملی از سوی کاربر نیاز نداشته است.
کوهن گفت: «مشخص نیست دقیقاً چند نفر هدف قرار گرفته یا مورد سوءاستفاده قرار گرفتهاند، اما در یک کمپین مرتبط اخیر که شامل iOS و واتساپ بود، واتساپ اعلام کرد که کمتر از ۲۰۰ نفر هدف قرار گرفته بودند. بنابراین، میتوانیم به طور منطقی انتظار داشته باشیم که این مورد نیز حجم بسیار هدفمند مشابهی داشته باشد.»
استفاده از آسیبپذیریهای روز صفر، زیرساخت سفارشی و طراحی ماژولار محموله مخرب، همگی نشاندهنده یک عملیات با انگیزه جاسوسی است
کارآگاهان سایبری Unit 42 در ابتدا هنگام تحقیق درباره دو آسیبپذیری روز صفر مشابه دیگر، Landfall را کشف کردند. در ماه اوت، اپل یک مشکل حیاتی «نوشتن خارج از محدوده» (out-of-bounds write) با شناسه CVE-2025-43300 را در فریمورک ImageIO که در آیفونها و آیپدها استفاده میشود، برطرف کرد. این آسیبپذیری پیش از آن در حملاتی «بسیار پیچیده» مورد بهرهبرداری قرار گرفته بود.
در همان ماه، شرکت متا نیز هشدار امنیتی خود را صادر کرد و اعلام کرد که مهاجمان ممکن است یک باگ واتساپ (CVE-2025-55177) را با این آسیبپذیری در سطح سیستمعامل اپل زنجیر کرده باشند «تا یک حمله پیچیده علیه کاربران هدف خاص» اجرا کنند.
تیمهای امنیتی متا و واتساپ همچنین یک آسیبپذیری روز صفر دیگر مرتبط با فرمت DNG را در دستگاههای گلکسی در ماه اوت کشف و به سامسونگ گزارش دادند و در سپتامبر، سامسونگ آسیبپذیری CVE-2025-21043 را اصلاح کرد.
با وجود شباهتها میان تمام این زنجیرههای حمله، Unit 42 میگوید نمیتواند به طور قطعی Landfall را به سه آسیبپذیری روز صفر دیگر مرتبط کند.
کوهن به ما گفت: «ما شواهدی برای تأیید اینکه خود Landfall با CVE-2025-21043 استفاده شده یا اینکه آیا CVE-2025-43300 برای تحویل یک بدافزار معادل Landfall به iOS به کار رفته است، در اختیار نداریم و همچنین نمیتوانیم بگوییم همان عامل پشت همه اینها بوده است.» او افزود: «با این حال، زمانبندی نزدیک، روش تحویل و شباهتهای فنی آشکار، به موج گستردهتری از بهرهبرداری از تجزیه تصاویر DNG در عملیاتهای پیشرفته بدافزارهای جاسوسی موبایل اشاره دارد.»
کوهن اضافه کرد، در حالی که محققان معتقد نیستند CVE-2025-21042 هنوز مورد سوءاستفاده قرار میگیرد، «زنجیرههای بهرهبرداری مرتبط که بر دستگاههای سامسونگ و iOS تأثیر میگذارند، اخیراً در ماههای اوت و سپتامبر مشاهده شدهاند که نشان میدهد کمپینهای مشابه تا همین اواخر فعال بودهاند.»
پس از نصب بر روی دستگاه قربانی، Landfall با قابلیتهای معمول بدافزارهای جاسوسی پیشرفته طراحی شده است تا ضمن پنهان ماندن، به انگشتنگاری از دستگاه و استخراج دادهها بپردازد. این قابلیتها شامل ضبط تماسها، جمعآوری مخاطبین و پیامها، و دسترسی به عکسها و فایلهای دیگر است.
اگرچه Unit 42 شواهد کافی برای اعلام قطعی عامل جاسوسی یا توسعهدهنده بدافزار را ندارد، محققان اشاره میکنند که زیرساخت فرمان و کنترل و الگوهای ثبت دامنه Landfall با گروه Stealth Falcon شباهتهایی دارد. این گروه ممکن است با دولت امارات متحده عربی در ارتباط باشد و از سال ۲۰۱۲ حملات هدفمند بدافزاری علیه روزنامهنگاران، فعالان و مخالفان اماراتی انجام داده است.
کوهن گفت: «همپوشانیهای فنی جالب توجه هستند اما برای یک انتساب مسئولانه به اندازه کافی قوی نیستند. آنچه روشن است این است که تکنیکها، کیفیت ابزارها و هدفگیری خاص، به یک اپراتور با منابع بسیار بالا اشاره دارد، نه یک گروه تبهکار.»