اكتشفت شركة الأمن السيبراني Unit 42 حملة تجسس على أجهزة سامسونج جالاكسي تستغل ثغرة أمنية غير معروفة لاختراق الهواتف من خلال الصور المرسلة عبر واتساب.
يحذر باحثو الأمن من أن العملية نشطة منذ منتصف عام 2024، وأنها تساعد المهاجمين على نشر برامج ضارة متطورة لنظام Android قادرة على مراقبة الجهاز بالكامل دون تفاعل المستخدم.
أطلق باحثو الأمن السيبراني على هذه العملية اسم "لاندفول"، وقد تم اكتشافها في سبتمبر بعد تحقيق بدأ في فحص عينات استغلال نظام التشغيل iOS في منتصف عام 2025.
برمجية LANDFALL الخبيثة تصيب أجهزة سامسونج التي تعمل بنظام أندرويد
وفقًا لتقرير التحقيق الذي نشرته في 7 نوفمبر، كان البرنامج الخبيث الخاص بنظام Android موجودًا داخل عينات نظام iOS المخفية في ملفات الصور الرقمية السلبية (DNG).
أبلغ بعض مالكي هواتف سامسونج جالاكسي عن رؤية أسماء تشبه أسماء واتساب مثل "IMG-20240723-WA0000.jpg"، والتي تم تحميلها إلى VirusTotal من مواقع تشمل المغرب وإيران والعراق وتركيا بين يوليو 2024 وأوائل عام 2025.
يستغل برنامج LANDFALL ثغرة أمنية تُعرف باسم "CVE-2025-21042"، وهي خلل في مكتبة معالجة الصور libimagecodec.quram.so . كما أن CVE-2025-12725 عبارة عن خطأ كتابة خارج النطاق في WebGPU، وهو مكون معالجة الرسومات الخاص بمتصفح جوجل كروم.
إصلاح الثغرة الأمنية في أبريل 2025 بعد ورود تقارير عن استغلالها النشط، ولكن بعد أن تسببت في تلف ملفات DNG تحتوي على أرشيف ZIP ملحق على عدة أجهزة. وأوضحت الوحدة 42 أن هذه الثغرة تخدع المكتبة المُعرّضة للخطر لاستخراج trac مكتبات الكائنات المشتركة (.so) التي قامت بتثبيت برامج التجسس على الأجهزة.
أفاد تقرير الوحدة 42 أن برنامج التجسس يُفعّل الميكروفونات للتسجيل، tracالمستخدمين عبر نظام تحديد المواقع العالمي (GPS)، ويسرق معلومات حساسة مثل الصور وجهات الاتصال وسجلات المكالمات والرسائل. وتشمل طرازات سامسونج جالاكسي المتأثرة سلسلة S22 وS23 وS24 وZ، وتحديدًا تلك التي تعمل بنظام أندرويد 13 و14 و15.
يؤثر خلل اليوم الصفر أيضًا على تحليل صور DNG على نظام التشغيل Apple iOS ، حيث اكتشف مطورو WhatsApp أن المهاجمين كانوا يربطون ثغرة Apple بالخلل لإجبار الأجهزة على معالجة المحتوى من عناوين URL الضارة.
يتصل الجزء الثاني من برنامج LANDFALL الخبيث، المسمى b.so، بخادم التحكم والسيطرة (C2) الخاص به باستخدام بروتوكول HTTPS عبر منفذ TCP مؤقت غير قياسي. يستطيع البرنامج إرسال إشارات اختبار الاتصال (ping) للتحقق من جاهزية الخادم قبل بدء نقل البيانات المشفرة. يرد شرح ذلك في الملحق التقني للتقرير.
بمجرد تفعيل اتصال HTTPS، يقوم b.so بإرسال طلب POST يحتوي على معلومات مفصلة حول الجهاز المصاب ونسخة برامج التجسس، بما في ذلك معرف الوكيل ومسار الجهاز ومعرف المستخدم.
في سبتمبر، أبلغ تطبيق واتساب شركة سامسونج عن ثغرة أمنية ذات صلة (CVE-2025-21043). ونصحت الشركة مستخدميها بأن رسالة خبيثة قد تستغل ثغرات في نظام التشغيل لاختراق الأجهزة والبيانات المخزنة عليها.
أعلنت شركة ميتا في تحديث أمني: "تشير تحقيقاتنا إلى احتمال وصول رسالة خبيثة إليك عبر تطبيق واتساب، بالإضافة إلى ثغرات أمنية أخرى في نظام تشغيل جهازك. ورغم أننا لا نملك تأكيداً قاطعاً على اختراق جهازك، إلا أننا أردنا إبلاغك من باب الاحتياط."
ذكرت صحيفة "ذا بنينسولا" الأسبوع الماضي أن الحملة يمكن tracإلى برامج تجسس مرتبطة بدول على الأجهزة المحمولة في الشرق الأوسط. لطالما ارتبطت برامج التجسس "بيغاسوس" التابعة لمجموعة "إن إس أو"، و"بريداتور" التابعة لشركة "سايتوكس/إنتليكسا"، و"فينفيشر فين سباي" التابعة لشركة "غاما" بهجمات مماثلة.
تُقدّم جوجل تحديثات لمعالجة ثغرة أمنية غير معروفة (ثغرة اليوم الصفر)
بحسب تقرير سابق لشركة جوجل، كان هؤلاء الفاعلون مسؤولين عن ما يقرب من نصف جميع الثغرات الأمنية غير المعروفة في منتجاتها بين عامي 2014 و2023. وفي الشهر الماضي، منعت محكمة اتحادية أمريكية مجموعة NSO الإسرائيلية من إجراء هندسة عكسية لتطبيق واتساب لتوزيع برامج تجسس.
وقالت القاضية فيليس هاميلتون، قاضية المحكمة الجزئية الأمريكية، في حكمها: "إن جزءًا مما تبيعه شركات مثل واتساب هو خصوصية المعلومات، وأي وصول غير مصرح به يعتبر تدخلاً في عملية البيع هذه".
أصدرت شركات التكنولوجيا العملاقة تحديث متصفح كروم الإصدار 142 الأسبوع الماضي لمعالجة خمس ثغرات أمنية خطيرة، ثلاث منها مصنفة ضمن فئة "الخطورة العالية". وتم توفير التحديث لأجهزة الكمبيوتر المكتبية وأجهزة أندرويد عبر حزم تصحيحية تم إطلاقها من خلال متجر جوجل بلاي.
يؤثر CVE-2025-12727 على محرك جافا سكريبت V8 الخاص بمتصفح كروم، وهو المسؤول عن تنفيذ الأداء، بينما يؤثر CVE-2025-12726 على مدير واجهة المستخدم الخاص بالمتصفح Chrome Views.
يطالب متخصصو الأمن السيبراني الآن مستخدمي سامسونج جالاكسي بتطبيق تحديث الأمان لشهر أبريل 2025 على الفور لتصحيح CVE-2025-21042.
