كشفت وحدة أبحاث الأمن السيبراني “Unit 42” التابعة لشركة “Palo Alto Networks”، في تقرير نشرته أمس السبت، عن عائلة برمجيات تجسس جديدة أطلقت عليها اسم “LANDFALL”، استهدفت هواتف أندرويد من طرازات “سامسونج جالاكسي” وواجهت أساليب استغلال متقدمة تعتمد على ملفات صور بصيغة DNG.

يشير التقرير إلى أن الحملة ظلت نشطة وغير مكشوفة لفترة ممتدة، إذ تعود أقدم عينات مكتشفة إلى يوليوز 2024، مع وجود عينات إضافية حتى فبراير 2025، قبل أن تصدر سامسونج تحديثات لإصلاح الثغرة الأساسية في أبريل 2025. 

تفصيليا، تبين أن LANDFALL كانت مخبأة داخل ملفات DNG مشوهة تضم أرشيفا مضمنا يمكنه استخراج مكونات ثنائية (ملفات .so) تستخدم لاحقا لتحميل وتشغيل البرمجية على الأجهزة المستهدفة.

وتوضح Unit 42 أن طريقة التوزيع تبدو مرتبطة بتطبيقات المراسلة، وعلى غرار ما يشير إليه اسم بعض العينات، يرجح الباحثون محاولة تسليم الحمولة الخبيثة عبر رسائل WhatsApp؛ وقد استغلت ثغرة يوم‑صفر معنونة بــ CVE‑2025‑21042 في مكتبة معالجة الصور لدى سامسونج لإتمام هذه السلسلة الهجومية.

يصف التقرير قدرات LANDFALL بأنها واسعة النطاق ومصممة للمراقبة وجمع المعلومات؛ إذ تضمنت وظائف قد تسمح بتسجيل الميكروفون والمكالمات، وتتبع الموقع، وسحب الصور وجهات الاتصال وسجلات المكالمات، فضلا عن تحميل مكونات إضافية وتشغيلها، والتلاعب بسياسات SELinux لرفع الامتيازات والحفاظ على البقاء.

كما اعتمدت البرمجية آليات للتملص من أدوات التحليل مثل Frida وXposed، واستخدمت اتصالات مشفرة مع خوادم قيادة وتحكم تعمل عبر منافذ مؤقتة، بحسب التحليل الفني المفصل في التقرير.

أما الأجهزة المستهدفة فشملت نماذج محددة من عائلة Galaxy، بينها سلاسل S22 وS23 وS24، بالإضافة إلى أجهزة Z Fold4 وZ Flip4. وتذكر Unit 42 أن الحملة استخدمت بنى تحتية تتضمن مجموعة من عناوين IP ومجالات إلكترونية، بعضها موثق ظهوره خلال 2024 و2025، ما دلل على نشاط ممنهج ومنهجيّة تشغيلية مستمرة عبر أشهر.

كما أشارت بيانات التحليل إلى احتمال استهداف جهات ودول في منطقة الشرق الأوسط، مع دلائل تشير إلى ملفات أُرسلت من أو استهدفت حسابات تعود إلى العراق وإيران وتركيا والمغرب، وفق بيانات VirusTotal وتحليلات الجهات المختصة.

في ما يتعلق بسياق الثغرات المتزامنة، يضع التقرير اكتشاف LANDFALL ضمن نمط أوسع من هجمات تستهدف ثغرات معالجة ملفات DNG عبر منصات متعددة. فقد عالجت Apple ثغرة مشابهة في غشت 2025 (CVE‑2025‑43300)، وأبلغ WhatsApp عن ثغرة أخرى متسلسلة (CVE‑2025‑55177) كانت تستخدم في هجمات بدون تفاعل المستخدم. كما نشرت سامسونج تحديثين أمنيين؛ الأول في أبريل 2025 لمعالجة CVE‑2025‑21042، ثم تحديث لاحقا في شتنبر 2025 لمعالجة ثغرة ذات صلة (CVE‑2025‑21043)، ما يبين استجابة المصنّع بعد رصد استغلالات فعلية في الحقل.

رغم أن التحليل الفنّي كشف أن LANDFALL تشير في بعض مكوناتها إلى أسماء تقنية مشتركة مع أدوات تجارية معروفة—ما يوحي بأنها قد تكون منتجا تجاريا أو مرتبطة بمزودي خدمات هجومية خاصة—فإن Unit 42 لم تدرج نسبة توجيه قاطعة إلى جهة فاعلة محددة، بل صنفت النشاط تحت معرف CL‑UNK‑1054، مشيرة إلى تشابه جزئي في البنى التحتية مع أنشطة رصدت سابقا في المنطقة لكن دون تأكيد ارتباط مباشر.

وأوصت Unit 42 بشدة بتحديث أجهزة سامسونج إلى أحدث إصدارات البرمجيات وتصحيحات الأمان، والامتناع عن فتح ملفات صور DNG أو وسائط مرسلة من مرسلين غير موثوقين، بالإضافة إلى مراجعة أذونات التطبيقات وإزالة أي تطبيقات مريبة وتعطيل صلاحيات الوصول غير الضرورية.

كما أهابت الوحدة بالجهات والمنظمات والأفراد الذين يشتبهون بتعرض أجهزتهم للاختراق بالتواصل مع فرق استجابة الحوادث المتخصصة، مثل فريق Unit 42 Incident Response لدى Palo Alto Networks.

ويقدم التقرير مادة تقنية مفصلة تشمل مؤشرات اختراق (Hashes، عناوين IP، مجالات) يمكن للفرق التقنية استخدامها في الكشف والاستجابة، كما أعلن الباحثون أنهم شاركوا هذه النتائج مع شركاء في تحالف Cyber Threat Alliance لتسريع نشر الحماية.

يبقى اكتشاف LANDFALL تذكيرا واضحا بأن التهديدات المتقدمة قد تبقى خفية داخل منصات عامة لأشهر، وأن الاعتماد على تحديثات المصنعين ومشاركة معلومات التهديد بين الجهات الأمنية يمثلان خطين دفاعيين أساسيين للتصدي لحملات التجسّس المعقّدة التي تستهدف خصوصية المستخدمين وأمن الأجهزة المحمولة. 

قد يهمك أيضــــــــــــــا

المغرب ضمن المجموعة الأولى في مؤشر الأمن السيبراني العالمي لسنة 2024

سامسونج تدرس إطلاق خطط اشتراك لمنصتها الصحية لتوفير مزايا متقدمة