كشف فريق أبحاث «بالو ألتو نتوركس» عن عائلة جديدة من برمجيات التجسس الموجهة لنظام «أندرويد» تحمل اسم «لاند فول» (LANDFALL)، استُخدمت في حملات اختراق استهدفت أجهزة «سامسونغ غالاكسي» في منطقة الشرق الأوسط. وتعتمد البرمجية على استغلال ثغرة «يوم صفر» في مكتبة سامسونغ لمعالجة الصور، وهي جزء من سلسلة ثغرات مشابهة رُصدت خلال العامين الماضيين عبر منصات مختلفة.
ووفقاً للباحثين، جرى استغلال الثغرة بشكل نشط قبل أن تصدر «سامسونغ» تحديثاً لمعالجتها في أبريل 2025، وذلك بعد تقارير أولية أشارت إلى استخدامها عملياً. ولم تُنشر حينها تحليلات تقنية موسعة حول طبيعة الثغرة أو البرمجية المرتبطة بها.
وأظهر تحليل الشركة أن برمجية «LANDFALL» كانت مدمجة داخل ملفات صور خبيثة بصيغة «DNG» يبدو أنها أُرسلت عبر تطبيق واتساب. وتتشابه آلية الإرسال مع سلاسل هجمات «دون نقرة» رُصدت سابقاً ضد منصتي «أبل» و«واتساب» في أغسطس (آب) 2025، إضافة إلى استغلال آخر محتمل أعلن عنه في سبتمبر. وأكد التقرير أنه لا توجد ثغرات «واتساب» جديدة مرتبطة بهذه الحملة حتى الآن.
وأشار الباحثون إلى أن حملة «LANDFALL» بدأت فعلياً في منتصف عام 2024، مستغلة الثغرة قبل أشهر من إصدار «سامسونغ» للتصحيح. وفي سبتمبر (أيلول) 2025، عالجت الشركة ثغرة جديدة من النوع نفسه في مكتبة الصور، ما رفع مستوى الحماية ضد هذا النمط من الهجمات.
أظهرت نتائج تحليل فريق «بالو ألتو نتوركس» أن برمجية «LANDFALL» صُممت خصيصاً لاستهداف أجهزة «سامسونغ غالاكسي» ضمن هجمات موجهة في الشرق الأوسط، وتمتلك قدرات مراقبة واسعة تشمل تسجيل الصوت وتتبع الموقع الجغرافي وسحب الصور والوسائط وبيانات الاتصال. وتعتمد البرمجية في عملها على استغلال ثغرة «CVE-2025-21042» في مكتبة معالجة الصور، من خلال ملفات «DNG» خبيثة يُعتقد أنها نُقلت للمستخدمين عبر قنوات تواصل شائعة.
وتشير الأدلة إلى احتمال استخدام أسلوب «الاستهداف دون نقرة»، وهو نمط مشابه لهجمات حديثة استهدفت منصتي «iOS» و«سامسونغ». كما رصد الباحثون تشابهاً في البنية التحتية للحملة مع عمليات تجسس تجارية ظهرت سابقاً في المنطقة، ما قد يعزز فرضية ارتباطها بجهات خاصة. وظلت البرمجية تعمل بصمت لعدة أشهر قبل اكتشافها، في حين تؤكد الشركة أن الأجهزة التي تلقت تحديثات سامسونغ الأمنية منذ أبريل (نيسان) 2025 لم تعد عرضة لهذا الخطر.
