تم استخدام البرمجية في حملات اختراق موجّهة في منطقة الشرق الأوسط
كشف فريق أبحاث بالو ألتو نتوركس عن عائلة برمجيات تجسس جديدة تستهدف نظام أندرويد أطلق عليها اسم لاندفول LANDFALL. واعتمد المهاجمون في نشر هذه البرمجية على ثغرة “اليوم صفر” في مكتبة سامسونج لمعالجة الصور. ولا تعد هذه الثغرة حالة منعزلة، بل تندرج ضمن نمط أوسع من نقاط الضعف المشابهة التي تم رصدها عبر منصات جوالة متعددة.
وجرى استغلال هذه الثغرة بشكل نشط قبل أن تصدر شركة سامسونج تصحيحاً لها في أبريل 2025، وذلك عقب ورود تقارير توثق استهداف عملي باستخدام هذه البرمجية. ومع ذلك، لم يتم نشر تقارير فنية أو تحليلات متعمقة حول الثغرة نفسها أو برمجيات التجسس التجارية المصاحبة لها.
وكشف تحليل “بالو ألتو نتوركس” أن برمجية لاندفول وضعت داخل ملفات صور خبيثة بصيغة DNG والتي يبدو أنها أرسلت عبر تطبيق واتساب. وتشبه طريقة توزيع هذه البرمجية إلى حد بعيد سلاسل استغلال سجلت ضد آبل وواتساب في أغسطس 2025، وتقارب نمط استغلال آخر محتمل اعتمد على ثغرة مماثلة تم الإعلان عنها في سبتمبر. ولم يسجل التحليل أية ثغرات مجهولة جديدة في تطبيق واتساب حتى الآن.
ومن الجدير بالذكر أن نتائج أبحاث شركة بالو ألتو نتوركس قد سبقت تلك البلاغات، إذ انطلقت حملة لاندفول بشكل فعلي في منتصف عام 2024، مستغلة ثغرة “اليوم صفر” في نظامي أندرويد وسامسونج قبل أشهر من إصدار سامسونج للتصحيح في أبريل 2025.
وجرى تصحيح هذه الثغرة منذ أبريل 2025، ما يعني أن مستخدمي أجهزة سامسونج الحاليين لم يعودوا عرضة للخطر. وفي سبتمبر من العام نفسه، أصدرت سامسونج تحديث أمني آخر لمعالجة ثغرة جديدة من النوع “اليوم صفر” في مكتبة معالجة الصور ذاتها، الأمر الذي عزز من مستوى الحماية ورفع كفاءة الدفاع ضد هذا النوع من الهجمات.
ومن أبرز النتائج التي كشفت عنها بالو ألتو نتوركس أيضا حول هذه البرمجية:
- برمجيات لاندفول هي برمجيات تجسس لنظام أندرويد، مصممة خصيصاً لاستهداف أجهزة سامسونج جالاكسي، وقد تم استخدامها في حملات اختراق موجهة في منطقة الشرق الأوسط.
- تميزت لاندفول بقدرات تجسس شاملة تشمل تسجيل الصوت عبر الميكروفون، وتتبع الموقع الجغرافي بدقة، وسحب الصور والوسائط، بالإضافة إلى استخراج جهات الاتصال وسجلات المكالمات.
- تم إيصال برمجية التجسس لاندفول ملفات صور خبيثة بصيغة DNG مستغلة ثغرة CVE-2025-21042 في مكتبة معالجة الصور الخاصة بسامسونج جالاكسي، وقد جرى استغلال هذه الثغرة فور اكتشافها في حملات عملية.
- تشير الأدلة إلى أن سلسلة الاستغلال ربما اعتمدت على إيصال “بدون نقرة” عبر صور خبيثة، وهو نمط يتماشى مع سلاسل استغلال رُصدت مؤخرًا على منصتي iOS وسامسونج جالاكسي.
- تتشارك الحملة في أنماط البنية التحتية والأساليب التجارية مع عمليات برمجيات تجسس تجارية سابقة في المنطقة، ما يشير إلى احتمال ارتباطها بجهات هجومية من القطاع الخاص.
- ظلت برمجية لاندفول فعالة وغير مكتشفة لفترة امتدت لعدة أشهر.
ويشار إلى أن عملاء بالو ألتو نتوركس يتمتعون بحماية فعالة ضد محاولات الاستغلال المرتبطة بهذه البرمجية.
