powrót

Przez niemal rok flagowce Samsunga były podatne na ataki szpiegowskie

Joanna Marteklas
10.11.2025|Przeczytasz w 3 minuty
Przez niemal rok użytkownicy najnowszych smartfonów Samsung Galaxy mogli być obserwowani bez swojej wiedzy. Wyrafinowane narzędzie szpiegowskie o kryptonimie LANDFALL wykorzystywało nieznaną wcześniej lukę w systemie, by przechwytywać zdjęcia, nagrywać rozmowy i śledzić każdy ruch. Najbardziej niepokojące jest to, że atak nie wymagał żadnego działania ze strony ofiary. Problem dotknął przede wszystkim flagowe modele z 2024 roku i choć producent naprawił błąd w kwietniu 2025 roku, kampania szpiegowska trwała od połowy poprzedniego roku, pozostając niezauważona przez wiele miesięcy.
...

Niebezpieczny szpieg w telefonach Samsung Galaxy

LANDFALL to nazwa nadana nowo odkrytej rodzinie złośliwego oprogramowania, która wykorzystywała do ataku luki typu zero-day. Zero-day oznacza, że jest to luka, która nie była wcześniej znana producentowi, a zatem nie istniało przed nią żadne zabezpieczenie w momencie, gdy została wykorzystana przez atakujących. Najbardziej zdradziecki element ataku LANDFALL polegał na tym, że do skonfigurowania szpiegostwa nie wymagał bezpośredniej interakcji użytkownika. Zamiast polegać na socjotechnice i zmuszaniu ofiary do kliknięcia w złośliwy link, atak wykorzystywał lukę w bibliotece przetwarzania obrazów systemu Android Samsunga.

Mechanizm wyglądał następująco:

  1. Atakujący wykorzystywali specjalnie spreparowany plik graficzny w formacie DNG (cyfrowy negatyw), w którym ukryty był cały kod szpiegowski. Plik ten był dystrybuowany za pośrednictwem popularnych aplikacji do przesyłania wiadomości, na przykład WhatsApp.
  2. Kiedy telefon Galaxy (z podatną wersją oprogramowania) przetwarzał ten uszkodzony plik obrazu – co często działo się automatycznie w tle – mimowolnie ładował i instalował wraz z nim oprogramowanie szpiegujące.

Po zainstalowaniu, LANDFALL dawał zdalnym operatorom pełny dostęp do cennych i prywatnych danych użytkownika, w tym: zdjęć, kontaktów, rejestrów połączeń, nagrań mikrofonowych, a także danych dotyczących śledzenia lokalizacji. Złośliwy kod został również wyposażony w narzędzia utrudniające wykrycie i usunięcie, co pozwalało mu na długotrwałą, niezauważoną inwigilację.

Czytaj też: Podsumowania powiadomień w One UI 8.5 nie dla każdego. Samsung ograniczy dostępność nowej funkcji

Kto był zagrożony i dlaczego aktualizacja jest kluczowa?

Według badań Unit 42, LANDFALL był aktywnie wykorzystywany w latach 2024 i na początku 2025 roku, głównie w regionach Bliskiego Wschodu, w ramach ukierunkowanych działań inwazyjnych. Potencjalnie podatne były telefony z wersjami oprogramowania One UI 5, One UI 6 i One UI 7 (opartymi na systemach Android 13, 14 i 15). Na liście zagrożonych modeli znalazły się m.in.:

  • seria Samsung Galaxy S22
  • seria Samsung Galaxy S23
  • seria Samsung Galaxy S24
  • Samsung Galaxy Z Fold 4
  • Samsung Galaxy Z Flip 4

Czytaj też: WhatsApp w końcu szykuje przełom. Nadchodzą czaty bez ograniczeń?

Samsung ostatecznie załatał tę krytyczną lukę dopiero w kwietniu 2025 roku, choć raporty o aktywnych atakach w terenie pojawiły się miesiące wcześniej. Choć od wydania stosownej łatki minęło sporo czasu, dopiero teraz wiemy, jak wielkie to było zagrożenie i jak długo smartfony producenta pozostawały na niego podatne.  Dodatkowo, jest to również świetny przykład tego, jak kluczowe są regularne aktualizacje bezpieczeństwa, których instalację wiele osób pomija lub odkłada na później, bo brak w nim nowych funkcji. Jednak właśnie te poprawki, zwłaszcza krytycznych luk w zabezpieczeniach, są o wiele ważniejsze, bo które mogą być wykorzystywane przez cyberprzestępców.

UdostępnijTwitter