كشف فريق الأبحاث في شركة «بالو ألتو نتوركس» عن رصد عائلة جديدة من برمجيات التجسس الموجهة لنظام «أندرويد»، تحمل اسم «LANDFALL»، استُخدمت في تنفيذ حملات اختراق استهدفت أجهزة «سامسونغ غالاكسي» داخل منطقة الشرق الأوسط.
وأوضح الفريق أن البرمجية تعتمد على استغلال ثغرة «يوم صفر» في مكتبة سامسونغ الخاصة بمعالجة الصور، وهي واحدة من سلسلة ثغرات مشابهة جرى اكتشافها خلال العامين الماضيين عبر منصات متعددة.
وذكر الباحثون أن الثغرة جرى استغلالها بشكل فعلي قبل إصدار «سامسونغ» تحديثاً أمنياً لمعالجتها في نيسان 2025، وذلك بعد ورود تقارير أولية أشارت إلى استخدامها ميدانياً، دون أن تتوفر حينها تحليلات تقنية تفصيلية حول طبيعتها أو حول البرمجية المسؤولة عنها. وكشف تحليل الشركة أن برمجية «LANDFALL» وصلت إلى الأجهزة المستهدفة من خلال ملفات صور خبيثة بصيغة «DNG» بدا أنها أُرسلت عبر تطبيق «واتساب»، وبآلية تشبه هجمات «دون نقرة» التي رُصدت سابقاً ضد منصتي «أبل» و«واتساب» في آب 2025، إضافة إلى احتمالات استغلال آخر أعلنت عنه جهات تقنية في أيلول من العام نفسه، فيما أكد التقرير أنه لا توجد ثغرات جديدة في «واتساب» مرتبطة بهذه الحملة حتى الآن.
وبيّن الباحثون أن حملة «LANDFALL» بدأت فعلياً في منتصف عام 2024، أي قبل أشهر من إطلاق «سامسونغ» للتصحيح الأمني، فيما عالجت الشركة في أيلول 2025 ثغرة جديدة من النوع ذاته في مكتبة الصور، ما عزز مستوى الحماية ضد هذا النمط من الهجمات. وأظهر تحليل «بالو ألتو نتوركس» أن البرمجية صُممت خصيصاً لاستهداف أجهزة «سامسونغ غالاكسي» ضمن هجمات موجهة في الشرق الأوسط، وتمتلك قدرات تجسسية واسعة تشمل تسجيل الصوت، وتتبع الموقع الجغرافي، وسحب الصور والوسائط، والاطلاع على بيانات وسجلات الاتصال.
وتعتمد البرمجية في نشاطها على استغلال ثغرة «CVE-2025-21042» ضمن مكتبة معالجة الصور، عبر ملفات «DNG» خبيثة يُرجّح أنها انتقلت للمستخدمين عبر قنوات تواصل شائعة. وتشير المؤشرات المتوافرة إلى احتمال استخدام أسلوب «الاستهداف دون نقرة»، وهو أسلوب مشابه لهجمات معقدة استهدفت أنظمة «iOS» وبعض أجهزة «سامسونغ» في الآونة الأخيرة، فيما أظهر الربط التقني تشابهاً في البنية التحتية للحملة مع عمليات تجسس تجارية سبق ظهورها في المنطقة، بما قد يعزز فرضية ارتباطها بجهات خاصة. وأكدت الشركة أن البرمجية ظلت تعمل بصمت لعدة أشهر قبل اكتشافها، في حين أصبحت الأجهزة التي حصلت على تحديثات «سامسونغ» الأمنية منذ نيسان 2025 خارج نطاق الاستهداف بهذه الثغرة.
