Bezpečnostní experti odhalili nový špionážny softvér (spyware)  s názvom Landfall, ktorý mal takmer  celý rok prístup na konkrétne modely smartfónov Samsung Galaxy. Výskumníci zo spoločnosti Palo Alto Networks (tím Unit 42) ho opísali ako komerčný špionážny trójsky kôň určený špeciálne pre zariadenia Samsung Galaxy. Útočníci využili dovtedy neznámu zraniteľnosť označenú ako CVE-2025-21042 v obrazovej knižnici „libimagecodec.quram.so“, ktorá sa používa na spracovanie fotografií a ďalších obrazových súborov. Táto chyba umožňovala vzdialené spustenie ľubovoľného kódu v telefóne bez účasti používateľa.

Kľúčovým kanálom útoku boli špeciálne upravené obrazové súbory, zamaskované ako bežné fotografie JPEG a doručované cez WhatsApp. V mnohých prípadoch išlo o takzvaný „zero-click“  scenár: na kompromitáciu zariadenia často stačilo, aby správa s takýmto súborom dorazila do telefónu a knižnica ju začala spracúvať. Používateľ nemusel sám inštalovať žiadnu aplikáciu ani vedome otvárať podozrivú prílohu v klasickom zmysle slova. Podľa technických analýz bol Landfall aktívne nasadzovaný približne od polovice roka 2024 až do začiatku roka 2025, teda takmer deväť mesiacov predtým, než bola zraniteľnosť odstránená bezpečnostnou aktualizáciou v apríli 2025.

Útok nebol masovou kampaňou, Landfall cielil na konkrétne modely vyššej triedy, hlavne Galaxy S22, S23 a S24, ako aj skladacie modely Z Fold4 a Z Flip4. Ide o zariadenia, ktoré často používajú manažéri, štátni úradníci, novinári či členovia bezpečnostných zložiek – teda ľudia, ktorých komunikácia má vysokú informačnú hodnotu. Geograficky boli obete identifikované najmä v krajinách Blízkeho východu vrátane Iraku, Iránu, Turecka a Maroka. Niektoré analýzy spájajú kampaň s aktérmi z oblasti Perzského zálivu, no konkrétny komerčný dodávateľ spyvéru ani objednávatelia útokov zatiaľ verejne identifikovaní neboli.

Po úspešnom zneužití zraniteľnosti sa Landfall nainštaloval do systému a snažil sa čo najlepšie skryť. Bezpečnostní experti uvádzajú, že po infikovaní dokázal aktivovať mikrofón a tajne nahrávať zvuk z okolia, sťahovať fotografie, videá a dokumenty, čítať SMS správy, zoznam hovorov a kontakty, sledovať polohu zariadenia pomocou lokalizačných služieb a zbierať údaje z webového prehliadača i ďalších aplikácií.

Ide teda o plnohodnotný špionážny nástroj, ktorý je svojimi schopnosťami porovnateľný s najznámejšími komerčnými spyvérmi, aké v minulosti využívali vlády a bezpečnostné služby v rôznych častiach sveta. Rozdielom je, že Landfall bol špeciálne prispôsobený pre prostredie Samsungu a opieral sa o chybu, ktorú bežný používateľ nemá šancu vidieť ani ovplyvniť. Spoločnosť Samsung chybu opravila v bezpečnostných aktualizáciách distribuovaných v apríli 2025 a neskôr v septembri odstránila aj druhú súvisiacu zraniteľnosť v tej istej knižnici. Samsung zdôrazňuje, že používatelia, ktorí si inštalujú mesačné aktualizácie, sú dnes pred týmto typom útoku chránení.

Landfall patrí k softvéru, ktorý vyvíjajú špecializované firmy, často legálne registrované a pôsobiace na hrane medzi bezpečnostnými technológiami a hekerským prístupom. Existujú ich približne štyri desiatky. Ich produkty sa oficiálne predávajú vládam a bezpečnostným službám pod zámienkou boja proti terorizmu a organizovanému zločinu. Prax však opakovane ukazuje zneužívanie voči novinárom, aktivistom, členom opozície či podnikateľom. Kauzy okolo spyvérov Pegasus alebo Predator v posledných rokoch odhalili, že kontrola nad týmto priemyslom je nedostatočná a dohľad štátov aj medzinárodných inštitúcií výrazne zaostáva za technickým vývojom.