{"id":95184,"date":"2025-11-10T22:20:22","date_gmt":"2025-11-10T22:20:22","guid":{"rendered":"https:\/\/www.europesays.com\/pl\/95184\/"},"modified":"2025-11-10T22:20:22","modified_gmt":"2025-11-10T22:20:22","slug":"badacze-odkryli-landfall-czyli-komercyjny-spyware-atakujacy-smartfony-samsung-galaxy-przez-pliki-dng-w-whatsapp","status":"publish","type":"post","link":"https:\/\/www.europesays.com\/pl\/95184\/","title":{"rendered":"Badacze odkryli Landfall, czyli komercyjny spyware atakuj\u0105cy smartfony Samsung Galaxy przez pliki DNG w WhatsApp"},"content":{"rendered":"

\"BadaczeWyobra\u017a sobie, \u017ce odbierasz na WhatsApp zwyk\u0142e zdj\u0119cie od znajomego. Nie klikasz go, nie pobierasz pliku, nie instalujesz niczego podejrzanego. A jednak tw\u00f3j smartfon staje si\u0119 w tym momencie narz\u0119dziem do pe\u0142nej inwigilacji, nagrywa rozmowy, \u015bledzi lokalizacj\u0119, wykrada has\u0142a i dokumenty. Brzmi jak scenariusz z hollywoodzkiego thrillera o szpiegach? Niestety, to rzeczywisto\u015b\u0107, z kt\u00f3r\u0105 przez niemal rok zmagali si\u0119 u\u017cytkownicy flagowych smartfon\u00f3w Samsung Galaxy.<\/p>\n

Landfall to komercyjny spyware, kt\u00f3ry przez niemal rok wykorzystywa\u0142 krytyczn\u0105 luk\u0119 w smartfonach Samsung Galaxy, infekuj\u0105c urz\u0105dzenia przez z\u0142o\u015bliwe obrazy wysy\u0142ane na WhatsApp, bez \u017cadnej interakcji u\u017cytkownika.<\/p>\n

\"Badacze<\/a><\/p>\n

Twoja gamingowa myszka mo\u017ce Ci\u0119 pods\u0142uchiwa\u0107. Sensory PixArt PAW3395 i PAW3399 zagra\u017caj\u0105 prywatno\u015bci u\u017cytkownik\u00f3w<\/a><\/p>\n

Badacze bezpiecze\u0144stwa ujawnili w\u0142a\u015bnie szczeg\u00f3\u0142y kampanii szpiegowskiej wykorzystuj\u0105cej zaawansowane oprogramowanie, kt\u00f3re nazwali Landfall<\/a>. To odkrycie stawia niewygodne pytania nie tylko o bezpiecze\u0144stwo urz\u0105dze\u0144 mobilnych, ale tak\u017ce o skal\u0119 komercyjnego rynku cyfrowej inwigilacji. Unit 42, zesp\u00f3\u0142 badawczy Palo Alto Networks, odkry\u0142 w bazie VirusTotal seri\u0119 z\u0142o\u015bliwych plik\u00f3w DNG (Digital Negative). Ich nazwy wskazywa\u0142y na WhatsAppa<\/a>, a wewn\u0105trz kry\u0142o si\u0119 modu\u0142owe oprogramowanie szpieguj\u0105ce. Landfall wykorzystywa\u0142 luk\u0119 CVE-2025-21042<\/a> w bibliotece libimagecodec.quram.so, komponencie przetwarzaj\u0105cym obrazy w Androidzie<\/a> Samsunga<\/a>. Gdy system automatycznie przetwarza\u0142 odebrany obraz, exploit<\/a> uruchamia\u0142 ukryte pliki i modyfikowa\u0142 polityk\u0119 SELinux, zapewniaj\u0105c sobie rozszerzone uprawnienia.<\/p>\n

\"Badacze<\/a><\/p>\n

P\u00f3\u0142nocnokorea\u0144scy hakerzy wykorzystuj\u0105 EtherHiding, ukrywanie malware w smart kontraktach Ethereum i BNB Smart Chain<\/a><\/p>\n

To klasyczny atak zero-click. Podobnie jak intruz z uniwersalnym kluczem, Landfall nie wymaga\u0142 \u017cadnego dzia\u0142ania ofiary. Wystarczy\u0142o, \u017ce WhatsApp odebra\u0142 i przetworzy\u0142 plik. U\u017cytkownik nawet nie musia\u0142 otwiera\u0107 wiadomo\u015bci. Mo\u017cliwo\u015bci szpiegowskie by\u0142y imponuj\u0105ce. Chodzi\u0142o o nagrywanie z mikrofonu i kamery, \u015bledzenie lokalizacji GPS<\/a>, wykradanie kontakt\u00f3w, SMS-\u00f3w, historii po\u0142\u0105cze\u0144, plik\u00f3w i historii przegl\u0105darki. Podstawowy komponent „Bridge Head” pobiera\u0142 kolejne modu\u0142y z sze\u015bciu zidentyfikowanych serwer\u00f3w C2. Z\u0142o\u015bliwe oprogramowanie<\/a> by\u0142o wyj\u0105tkowo uporczywe i trudne do usuni\u0119cia. Pierwsze pr\u00f3bki pojawi\u0142y si\u0119 w lipcu 2024, ostatnie w lutym 2025. Samsung za\u0142ata\u0142 luk\u0119 dopiero w kwietniu 2025, czyli niemal dziesi\u0119\u0107 miesi\u0119cy po pierwszym wykryciu podatno\u015bci. Celowano w Galaxy<\/a> S22, S23, S24, Z Flip 4 i Z Fold 4 z Androidem 13-15. Ofiary wykryto g\u0142\u00f3wnie w Iraku, Iranie, Turcji i Maroku, co sugeruje sponsorowane przez pa\u0144stwa, celowane operacje wywiadowcze.<\/p>\n

\"Badacze<\/a><\/p>\n

Wyciek danych z Sky-Shop.pl dotkn\u0105\u0142 9000 polskich sklep\u00f3w internetowych. Wykradzione hashe hase\u0142 i dane osobowe klient\u00f3w<\/a><\/p>\n

Infrastruktura C2 wykazuje podobie\u0144stwa do grupy Stealth Falcon powi\u0105zanej ze Zjednoczonymi Emiratami Arabskimi. Landfall u\u017cywa okre\u015blenia „Bridge Head”, nazewnictwa charakterystycznego dla komercyjnych dostawc\u00f3w spyware jak NSO Group<\/a> (tw\u00f3rcy Pegasusa), Variston czy Cytrox<\/a>. To dow\u00f3d na rosn\u0105cy rynek komercyjnej cyberinwigilacji. Dla u\u017cytkownik\u00f3w implikacje s\u0105 jasne. Nawet ostro\u017cne zachowanie nie chroni przed exploitem typu zero-click. Na szcz\u0119\u015bcie Landfall by\u0142 u\u017cywany raczej tylko w tych celowanych atakach, a nie w masowych kampaniach. Niemniej Samsung za\u0142ata\u0142 kolejn\u0105 podobn\u0105 luk\u0119 (CVE-2025-21043<\/a>) we wrze\u015bniu 2025, co sugeruje systemowe problemy z jako\u015bci\u0105 kodu biblioteki obraz\u00f3w. Ka\u017cdy posiadacz Galaxy powinien natychmiast zweryfikowa\u0107 aktualizacje. \u0141atki z kwietnia 2025 lub nowsze to jedyna skuteczna ochrona.<\/p>\n

\n

\u0179r\u00f3d\u0142o: Palo Alto Networks Unit 42, The Hacker News<\/p>\n","protected":false},"excerpt":{"rendered":"Wyobra\u017a sobie, \u017ce odbierasz na WhatsApp zwyk\u0142e zdj\u0119cie od znajomego. Nie klikasz go, nie pobierasz pliku, nie instalujesz…\n","protected":false},"author":2,"featured_media":95185,"comment_status":"","ping_status":"","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[20],"tags":[21916,7350,21917,2363,21918,21919,20082,120,118,119,21920,21921,42,38,40,39,41,13511,116,114,115,21922,121,117,21923,2361,21924],"class_list":{"0":"post-95184","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-nauka-i-technika","8":"tag-bezpieczenstwo-android","9":"tag-bliski-wschod","10":"tag-cve-2025-21042","11":"tag-cyberbezpieczenstwo","12":"tag-dng","13":"tag-landfall","14":"tag-luka-bezpieczenstwa","15":"tag-nauka","16":"tag-nauka-i-technika","17":"tag-naukatechnika","18":"tag-oprogramowanie-szpiegujace","19":"tag-palo-alto-networks","20":"tag-pl","21":"tag-poland","22":"tag-polish","23":"tag-polska","24":"tag-polski","25":"tag-samsung-galaxy","26":"tag-science","27":"tag-science-and-technology","28":"tag-sciencetechnology","29":"tag-spyware","30":"tag-technika","31":"tag-technology","32":"tag-unit-42","33":"tag-whatsapp","34":"tag-zero-click-exploit"},"share_on_mastodon":{"url":"https:\/\/pubeurope.com\/@pl\/115527734402474150","error":""},"_links":{"self":[{"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/posts\/95184","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/comments?post=95184"}],"version-history":[{"count":0,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/posts\/95184\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/media\/95185"}],"wp:attachment":[{"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/media?parent=95184"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/categories?post=95184"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.europesays.com\/pl\/wp-json\/wp\/v2\/tags?post=95184"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}