كشف باحثو الأمن في وحدة Unit 42 التابعة لشركة «بالو ألتو نتوركس» عن برنامج تجسس جديد لنظام أندرويد يحمل اسم «Landfall»، استهدف خلال حملة امتدت نحو عام هواتف سامسونج غالاكسي عبر استغلال ثغرة من نوع «يوم صفر» في برمجيات الهاتف.
آلية الاستغلال
يشير تحليل فريق Unit 42 إلى أن الهجوم استُخدمت فيه صورة مُعدّة خصيصًا أُرسلت إلى هاتف الهدف — وعلى الأرجح عبر تطبيق مراسلة — ما مكّن المهاجمين من تنفيذ الشيفرة الخبيثة دون حاجة لتفاعل المستخدم (ما يُعرف بـ«zero-click exploit»).
أُدرجت الثغرة لاحقًا تحت رمز التعريف CVE-2025-21042، وصدر تصحيح لها ضمن التحديثات الأمنية التي أصدرتها سامسونج في أبريل 2025.
دلائل ربط بحقول رقابية سابقة
بيّن التقرير أن خوادم السيطرة والتحكم (C2) المستخدمة في توزيع «Landfall» ارتبطت بنطاقات كان لها صلة سابقة بمجموعة تُعرف باسم Stealth Falcon. ومع ذلك امتنع الباحثون عن تأكيد هوية الجهة المهاجمة بشكل قاطع، مشيرين إلى أن بنية البرنامج وتصميمه التقني يوحيان بتورط مزودين محترفين لخدمات المراقبة الرقمية (commercial spyware vendor) لا مجرد عصابات سيبرانية عشوائية.
نطاق الاستهداف
يُرجّح فريق Unit 42 أن الحملة ركزت على أفراد في منطقة الشرق الأوسط وشمال إفريقيا، لكن التقرير لم يتضمن أرقامًا دقيقة لعدد الضحايا أو تفاصيل عن الجهات المستهدفة. يبدو من الأدلة أن الاستهداف كان موجّهًا وليس عشوائيًا.
ماذا يميّز «Landfall»؟
- استغلال ملف وسائط (صورة) معدّل لتنفيذ الشيفرة الخبيثة.
- إمكانية الهجوم دون تفاعل المستخدم (zero-click).
- بنية خلفية متقدمة تشير إلى موارد تشغيلية وفنية عالية.
رد سامسونج وتوصيات أمنية
أصدرت سامسونج تحديثًا أمنيًا في أبريل 2025 أغلق الثغرة المعلنة، وحثّت الشركة مستخدميها على تثبيت التحديثات وتفعيل التحديثات التلقائية. ويؤكد خبراء الأمن أن مثل هذه الحوادث تبرز أهمية سرعة الاستجابة والتعاون بين الشركات المصنعة ومختبرات الأبحاث لاكتشاف الثغرات ومعالجتها.
توصيات عامة للمستخدمين
- تحديث نظام التشغيل وبرامج الجهاز فور توفر التحديثات الرسمية.
- تجنّب فتح ملفات أو صور من مرسلين مجهولين أو مشبوهين.
- تثبيت التطبيقات من متاجر رسمية فقط وتفعيل الحماية والتحديثات التلقائية.
- مراقبة سلوك الجهاز (استهلاك بيانات أو بطارية غير مبرر) والتواصل مع فريق الأمن في حالة الشك.
