به گزارش خبرگزاری آنا؛ این جاسوس‌افزار از یک آسیب‌پذیری روز صفر در نرم‌افزار گوشی‌های گلکسی استفاده می‌کرد. آسیب‌پذیری مذکور برای سامسونگ ناشناخته بود. حمله از طریق ارسال یک تصویر مخرب به گوشی قربانی انجام می‌شد. این تصویر احتمالاً برای برنامه‌های پیام‌رسان ارسال شده است.

حمله ممکن بود بدون نیاز به هیچ تعاملی از سوی قربانی انجام شود. سامسونگ این آسیب‌پذیری را در آوریل ۲۰۲۵ برطرف کرد. جزئیات این حمله سایبری پیش از این گزارش نشده بود.

اهداف و گستره جغرافیایی حملات

محققان می‌گویند توسعه‌دهنده این جاسوس‌افزار ناشناخته است. تعداد دقیق افراد هدف نیز مشخص نیست. به نظر می‌رسد حملات عمدتاً افراد حاضر در خاورمیانه را هدف قرار داده است. ایتای کوهن، پژوهشگر ارشد واحد ۴۲، این حملات را "دقیق" توصیف کرد. وی گفت حمله بر افراد خاصی متمرکز بوده نه توزیع گسترده. این موضوع نشان‌دهنده انگیزه جاسوسی از حملات است.

ارتباط با گروه‌های شناخته شده جاسوسی

جاسوس‌افزار لندفال از زیرساخت دیجیتالی مشترک با گروه استیلث فالکن استفاده می‌کند. این گروه پیش‌تر در حملات به روزنامه‌نگاران و فعالان اماراتی دیده شده بود. پژوهشگران می‌گویند این ارتباطات برای انتساب قطعی حملات به یک دولت خاص کافی نیست.

نمونه‌های جاسوس‌افزار از سوی کاربرانی در مراکش، ایران، عراق و ترکیه آپلود شده است. تیم آمادگی سایبری ترکیه یکی از آی‌پی‌های استفاده شده توسط جاسوس‌افزار را مخرب标记 کرده است. این موضوع هدف قرار گرفتن کاربران ترکیه را تأیید می‌کند.

قابلیت‌های نظارتی جاسوس‌افزار

لندفال توانایی نظارت گسترده بر دستگاه قربانی را دارد. این جاسوس‌افزار به داده‌های شخصی شامل عکس‌ها، پیام‌ها، مخاطبین و تاریخچه تماس‌ها دسترسی پیدا می‌کند. همچنین می‌تواند میکروفون دستگاه را فعال و موقعیت مکانی کاربر را ردیابی کند.

کد منبع جاسوس‌افزار پنج مدل خاص گلکسی را هدف قرار داده است. این مدل‌ها شامل گلکسی S۲۲، S۲۳، S۲۴ و برخی مدل‌های Z می‌شود. آسیب‌پذیری مذکور ممکن است در دیگر دستگاه‌های گلکسی نیز وجود داشته است. نسخه‌های اندروید ۱۳ تا ۱۵ تحت تأثیر این حمله قرار دارند. منابع خبری همچنین می‌گویند سامسونگ تاکنون به درخواست‌های رسانه‌ها برای گفتگو پاسخ نداده است. این شرکت آسیب‌پذیری را در آوریل ۲۰۲۵ برطرف کرده، اما جزئیات حملات اخیراً افشا شده است.