Phần mềm độc hại này đã khai thác lỗ hổng zero-day trên điện thoại Galaxy, cho phép kẻ tấn công lây nhiễm thiết bị chỉ bằng một hình ảnh độc hại được gửi đến.
Được theo dõi với mã CVE-2025-21042, lỗ hổng ẩn trong thư viện xử lý hình ảnh của Samsung. Điều đáng chú ý là lỗ hổng này không yêu cầu nạn nhân phải nhấp chuột hay mở tệp tin, mà chỉ cần nhận được một ảnh .DNG độc hại qua các ứng dụng nhắn tin như WhatsApp.
Mặc dù Samsung đã phát hành bản vá lỗi vào tháng 4/2025, phần mềm gián điệp này đã hoạt động âm thầm từ tháng 7/2024, kéo dài gần một năm trước khi bị phát hiện.
Chiến dịch Landfall chủ yếu nhắm vào các mẫu điện thoại Galaxy S22, S23, S24 và các thiết bị gập như Z Fold 4 và Z Flip 4, chạy trên hệ điều hành Android 13 đến 15. Điều này cho thấy rằng, mặc dù lỗ hổng đã được khắc phục, các chiến dịch phần mềm gián điệp có chủ đích vẫn có thể kéo dài trong nhiều tháng.
Các nhà nghiên cứu mô tả đây là một cuộc tấn công chính xác nhắm vào những cá nhân cụ thể, cho thấy động cơ địa chính trị hoặc liên quan đến nhà nước, với nạn nhân chủ yếu ở Trung Đông và Bắc Phi, bao gồm Iran, Iraq, Thổ Nhĩ Kỳ và Maroc.
Phần mềm độc hại này được phát tán thông qua một mạng lưới máy chủ liên kết với các tên miền trước đây có liên quan đến nhóm giám sát Stealth Falcon. Mặc dù chưa xác định được ai đứng sau chiến dịch này, Đơn vị 42 cho biết thiết kế và cơ sở hạ tầng của phần mềm gián điệp cho thấy những kẻ chủ mưu là các nhà cung cấp dịch vụ giám sát chuyên nghiệp, không phải tội phạm mạng.
Đối với người dùng thông thường, sự việc này nhấn mạnh rằng phần mềm gián điệp hiện đại không chỉ đòi hỏi sự bất cẩn của người dùng; ngay cả việc nhận tệp tin từ người gửi không xác định cũng có thể dẫn đến lỗ hổng bảo mật. Sau khi cài đặt, Landfall có khả năng ghi âm, kích hoạt camera, thu thập tin nhắn, danh bạ, nhật ký cuộc gọi và theo dõi vị trí theo thời gian thực.
Mặc dù Samsung đã phát hành bản sửa lỗi, các nhà nghiên cứu cảnh báo rằng vẫn có thể tồn tại các lỗ hổng bảo mật khác. Người dùng sở hữu các thiết bị Galaxy được liệt kê nên thực hiện các biện pháp sau: đảm bảo điện thoại được cập nhật đầy đủ, tránh mở hình ảnh hoặc tệp tin từ người gửi không xác định, và chú ý đến các hiện tượng bất thường như hao pin, quá nhiệt hoặc sử dụng dữ liệu nền không xác định.
