كشف باحثون عن برمجيات تجسس جديدة تستهدف هواتف سامسونج جالاكسي في منطقة الشرق الأوسط، مع التركيز بشكل خاص على هجمات تستخدم ثغرات “اليوم صفر” التي لم تكن معروفة سابقًا. تم تسمية هذه البرمجية الخبيثة بـ “لاندفول” (Landfall)، وتشير التحليلات الأولية إلى أن الحملة مستمرة منذ منتصف عام 2024.
وتحديدًا، أشار تقرير صادر عن وحدة (Unit 42) التابعة لشركة بالو ألتو نتوركس إلى استهداف محتمل لأجهزة سامسونج جالاكسي في دول مثل العراق والمغرب وتركيا إلى جانب إيران. هذه البرمجيات الخبيثة تستغل ثغرة أمنية لم يتم اكتشافها من قبل وأصلحتها سامسونج لاحقًا.
برمجيات التجسس Landfall تثير قلق مستخدمي سامسونج في الشرق الأوسط
طرق الانتشار والقدرات الخبيثة
تنضم برمجية “لاندفول” إلى فئة البرمجيات الخبيثة المعقدة التي تستفيد من ثغرات “اليوم صفر”، مما يعني أنها تستغل نقاط ضعف لم تكن معروفة لشركات التكنولوجيا. وقد تم اكتشاف انتشار هذه البرمجية عبر ملفات صور بصيغة DNG تم إرسالها على الأرجح عبر تطبيق واتساب، على الرغم من عدم وجود دليل على استغلال ثغرة جديدة في تطبيق المراسلة نفسه.
وتتميز “لاندفول” بقدرتها على العمل دون الحاجة إلى أي تفاعل من الضحية، فيما يُعرف بالهجمات من نوع “النقر الصفري” (zero-click). وبمجرد إصابة الهاتف، تتيح هذه البرمجية الخبيثة قدرات مراقبة واسعة تشمل تسجيل الصوت، وجمع الصور، وسرقة جهات الاتصال، وهي قدرات مماثلة لتلك التي توفرها برمجيات التجسس التجارية.
الحملة تستهدف نماذج محددة من هواتف سامسونج
أشارت التحليلات الفنية إلى أن برمجية “لاندفول” تركز استهدافها على نماذج معينة من هواتف سامسونج جالاكسي، بما في ذلك سلسلة S22 وS23 وS24، بالإضافة إلى الهواتف القابلة للطي من طراز Fold وFlip. ويُعتقد أن هذا الاستهداف المحدد مرتبط باستغلال ثغرة خاصة بمعالجة الصور في أجهزة سامسونج.
وأوضح باحثون أن هذه الحملة لا تبدو معزولة، حيث تشير الدلائل إلى أنها قد تكون جزءًا من موجة أوسع من استغلال ملفات DNG التي استهدفت أيضًا أجهزة آيفون عبر ثغرة يوم صفر مختلفة. وهناك احتمالية بأن تكون شركات تصنيع الهواتف المحمولة الأخرى قد تم استهدافها أيضًا باستخدام ثغرات غير مكتشفة لنشر برمجيات خبيثة مماثلة.
فرضيات حول الجهة المنفذة
على الرغم من عدم وجود تأكيد قاطع حول الجهة المسؤولة عن نشر برمجية “لاندفول”، إلا أن الباحثين في بالو ألتو نتوركس أشاروا إلى بعض أوجه التشابه بين برمجيات التجسس هذه وبين مجموعة تُعرف باسم “ستيلث فالكون” (Stealth Falcon). ترتبط هذه المجموعة الأخيرة بتقارير سابقة تشير إلى صلات محتملة مع حكومة دولة الإمارات العربية المتحدة.
ومع ذلك، أكدت بالو ألتو نتوركس أنه حتى أكتوبر 2025، لم يتم رصد تداخلات مباشرة في حملات الهواتف المحمولة بين “لاندفول” والأنشطة التي تقوم بها “ستيلث فالكون” على مستوى نقاط النهاية، باستثناء البنية التحتية المشتركة. تبقى هذه التشابهات مثيرة للاهتمام وتستدعي مزيدًا من البحث والتحليل.