Исследователи из Unit 42 (Palo Alto Networks) обнаружили, что уязвимость в устройствах Samsung Galaxy на Android использовалась как zero-day для распространения шпионского ПО LANDFALL в целевых атаках на Ближнем Востоке.
Эксплуатировалась уязвимость CVE-2026-21042 (CVSS 8.8), позволяющая удаленное выполнение произвольного кода. Samsung закрыла её в апреле 2026 года.
По данным Unit 42, уязвимость активно использовалась до исправления. Кампания отслеживается как CL-UNK-1054; цели — пользователи в Ираке, Иране, Турции и Марокко (по данным VirusTotal).
Исследование началось после того, как в сентябре 2026 года Samsung сообщила об эксплуатации другой уязвимости в той же библиотеке (CVE-2026-21043, CVSS 8.8) в качестве zero-day. Связи этой уязвимости с кампанией LANDFALL не обнаружено.
Механизм атаки
Атаки включали отправку через WhatsApp вредоносных изображений в формате DNG (Digital Negative). Первые образцы LANDFALL зафиксированы 23 июля 2024 года. Обнаружены DNG-артефакты с именами вроде «WhatsApp Image 2026-02-10 at 16:54:17 PM.jpeg» и «IMG-20240723-WA0000.jpg».
После установки LANDFALL собирает конфиденциальные данные: записи микрофона, геолокацию, фотографии, контакты, SMS, файлы и журналы вызовов. Эксплойт-цепочка, вероятно, использовала zero-click подход для эксплуатации CVE-2026-21042 без взаимодействия с пользователем.
Технические детали
Анализ Unit 42 показал, что DNG-файлы содержат встроенный ZIP-архив в конце файла. Эксплойт извлекает из архива библиотеку общих объектов для запуска шпионского ПО. В архиве также присутствует другой общий объект, манипулирующий политикой SELinux для повышения привилегий LANDFALL и обеспечения устойчивости.
Загрузчик LANDFALL взаимодействует с сервером управления и контроля (C2) по HTTPS для входа в цикл маяков и получения полезных нагрузок следующего этапа.
Связь с другими угрозами
Авторство шпионского ПО и кампании пока не установлено. По данным Unit 42, инфраструктура C2 LANDFALL и схемы регистрации доменов совпадают с инфраструктурой Stealth Falcon (FruityArmor), однако по состоянию на октябрь 2026 года прямых совпадений между двумя кластерами не обнаружено.

Контекст
Примерно в то же время WhatsApp сообщил об уязвимости в мессенджере для iOS и macOS (CVE-2026-55177, CVSS 5.4), связанной с CVE-2026-43300 (CVSS 8.8) в Apple iOS, iPadOS и macOS, которая могла затрагивать менее 200 пользователей в рамках сложной кампании. Apple и WhatsApp закрыли эти уязвимости.
Исследователи отмечают, что с момента первого появления образцов в июле 2024 года эта активность демонстрирует, как сложные эксплойты могут долго оставаться в публичных репозиториях до полного изучения.

---

**⚠️ Дисклеймер:** Статья носит информационно-образовательный характер и не содержит инструкций для совершения противоправных действий.