تقرير يكشف حملة تجسس استهدفت هواتف سامسونج عبر برنامج Landfall
- برنامج Landfall استهدف هواتف سامسونج عبر ثغرة أمنية خطيرة في نظام أندرويد.
- الهجوم استمر قرابة عام واستهدف مستخدمين في الشرق الأوسط لأغراض تجسس.
- استغل المهاجمون ملفات صور DNG خبيثة لتثبيت البرنامج دون تدخل المستخدم.
- دعت Unit 42 المستخدمين لتحديث أجهزتهم لتفادي الهجمات المشابهة مستقبلاً.
كشف باحثون في وحدة الأمن السيبراني التابعة لشركة Palo Alto Networks والمعروفة باسم Unit 42 عن حملة تجسس متطورة استخدمت برنامجًا خبيثًا حمل اسم Landfall واستهدفت هواتف سامسونج الذكية.
اعتمدت هذه الحملة على ثغرة غير معروفة سابقًا في نظام أندرويد المخصص لأجهزة سامسونج، واستمرت في نشاطها ما يقارب العام الكامل قبل اكتشافها. وقد أكد الباحثون أن الثغرة تم إصلاحها منذ أبريل 2025 بعد أن كانت مصدر خطر حقيقي على عدد محدود من المستخدمين المستهدفين.
نشأة الثغرة ومسار الهجوم
بدأ ظهور Landfall في يوليو 2024 عندما استغل القراصنة ثغرة أمنية مسجلة لاحقًا بالرمز CVE-2025-21042. وقد أصدرت سامسونج تحديثًا أمنيًا في أبريل 2025 لمعالجة هذه الثغرة، لكن تفاصيل الهجوم لم تُعلن إلا مؤخرًا. ورجح الباحثون أن الهجوم لم يكن واسع الانتشار؛ إذ ركز على مجموعات محددة في الشرق الأوسط لأغراض مراقبة وتجسس.
تميز Landfall بقدرته على إصابة الأجهزة دون أي تفاعل من المستخدم، في ما يعرف بالهجمات من نوع zero-click. وقد اكتشفت Unit 42 البرنامج بعد تحليل ثغرات مشابهة جرى تصحيحها سابقًا في نظام iOS وتطبيق واتساب. وهو ما دفع الفريق إلى البحث عن ملفات خبيثة تستخدم الطريقة ذاتها، فوجدوا مجموعة من الصور المشبوهة المرفوعة على منصة VirusTotal كشفت عن تفاصيل الهجوم.
صور تحمل شفرات خبيثة
اعتمد المهاجمون على ملفات صور من نوع DNG، وهو نوع من الملفات الخام المستندة إلى تنسيق TIFF؛ إذ جرى تعديل تلك الصور بطريقة تجعلها تحتوي على أرشيفات ZIP مدمجة تضم تعليمات خبيثة.
كانت الثغرة في مكتبة معالجة الصور داخل نظام سامسونج تسمح بتشغيل هذه التعليمات تلقائيًا عند محاولة عرض الصورة. وبمجرد معالجة الصورة المصابة، كان النظام يستخرج ملفات خفية تعمل على تثبيت برنامج التجسس داخل النظام.
صلاحيات موسعة للبرنامج الخبيث
استطاع Landfall تعديل سياسات الحماية الداخلية في النظام، المعروفة باسم SELinux، ليمنح نفسه صلاحيات إضافية والوصول إلى ملفات وبيانات حساسة.
وقد سمحت له هذه الصلاحيات بالتجسس وجمع معلومات شاملة عن الجهاز والمستخدم، منها معرفات الأجهزة والتطبيقات المثبتة وجهات الاتصال وسجل التصفح والملفات المخزنة. كما تمكن من تشغيل الكاميرا والميكروفون سرًا لمراقبة المستخدم في الوقت الفعلي.
الأجهزة التي استهدفها برنامج التجسس
أشارت البيانات التي حللتها Unit 42 إلى أن الملفات المصابة انتقلت عبر تطبيقات المراسلة، خصوصًا واتساب. وتضمن الكود البرمجي للبرنامج إشارات واضحة إلى طرازات محددة من أجهزة سامسونج مثل Galaxy S22 وGalaxy S23 وGalaxy S24 وGalaxy Z Flip 4 وGalaxy Z Fold 4.
وقد أرسل Landfall بعد تنصيبه معلومات أولية عن الجهاز إلى خوادم خارجية ليبدأ القراصنة بجمع البيانات المطلوبة.
صعوبة إزالة برنامج التجسس من النظام
أوضح الباحثون أن إزالة Landfall من الأجهزة المصابة مهمة بالغة التعقيد، بسبب قدرته على تعديل مكونات النظام العميقة وإخفاء وجوده من برامج الحماية التقليدية. كما استخدم أدوات متعددة لتفادي الكشف، ما جعله من أخطر البرمجيات التي استهدفت هواتف سامسونج في السنوات الأخيرة.
وأظهرت الأدلة التي جمعتها Unit 42 أن نشاط Landfall تركز خلال عامي 2024 و2025 في دول مثل العراق وإيران وتركيا والمغرب. كما أشارت التحليلات إلى أن الثغرة كانت موجودة في نُسخ نظام سامسونج المبنية على أندرويد 13 حتى أندرويد 15.
ولاحظ الباحثون تشابهًا بين آليات الاتصال بالخوادم وبعض أنماط التسمية وبين تلك المستخدمة في أدوات تجسس طورتها شركات معروفة مثل NSO Group الإسرائيلية وVariston، غير أن التحقيق لم يتمكن من تحديد الجهة المسؤولة بشكل قاطع.
تحذيرات للمستخدمين وتوصيات أمنية
دعت وحدة Unit 42 مستخدمي أجهزة سامسونج إلى التأكد من حصولهم على التحديث الأمني الصادر في أبريل 2025 أو التحديثات اللاحقة، نظرًا لإمكانية استغلال نفس الأسلوب من قبل جهات أخرى بعد كشف تفاصيل الهجوم. وأكدت أن نشر هذه المعلومات يهدف إلى رفع مستوى الوعي الأمني ومنع تكرار مثل هذه الاختراقات التي تعتمد على ثغرات غير مكتشفة في أنظمة الهواتف.
ورغم أن سامسونج أغلقت الثغرة وأوقفت حملة Landfall النشطة، إلا أن التهديدات المشابهة ما تزال قائمة، خصوصًا في ظل استمرار سباق التسلح السيبراني بين الجهات الحكومية والشركات الأمنية الخاصة. فقد أصبحت الهواتف الذكية هدفًا أساسيًا لهذه الهجمات نظرًا لما تحتويه من بيانات شخصية وحساسة.
