منها المغرب.. تقرير أمني جديد يكشف حملة تجسس معقدة طالت بلدانا في الشرق الأوسط

كشفت وحدة أبحاث الأمن السيبراني “Unit 42” التابعة لشركة “Palo Alto Networks”، في تقرير لها نشرته يوم السبت المنصرم، عن عائلة برمجيات تجسس جديدة أطلقت عليها اسم “LANDFALL”، استهدفت هواتف أندرويد من طرازات “سامسونج جالاكسي”, وواجهت أساليب استغلال متقدمة تعتمد على ملفات صور بصيغة DNG.

ويشير التقرير إلى أن الحملة ظلت نشطة وغير مكشوفة لفترة طويلة، حيث تعود أقدم عينات مكتشفة إلى يوليوز 2024، مع وجود عينات إضافية حتى فبراير 2025، قبل أن تصدر سامسونج تحديثات لإصلاح الثغرة الأساسية في أبريل 2025.

واتضح أن “LANDFALL” كانت مخبأة داخل ملفات DNG مشوهة تضم أرشيفا مضمنا يمكنه استخراج مكونات ثنائية (ملفات .so) تستخدم لاحقا لتحميل وتشغيل البرمجية على الأجهزة المستهدفة.

وتوضح Unit 42 أن طريقة التوزيع تبدو مرتبطة بتطبيقات المراسلة، وعلى غرار ما يشير إليه إسم بعض العينات، يرجح الباحثون محاولة تسليم الحمولة الخبيثة عبر رسائل WhatsApp؛ وقد استغلت ثغرة يوم‑صفر معنونة بــ CVE‑2025‑21042 في مكتبة معالجة الصور لدى سامسونج لإتمام هذه السلسلة الهجومية.

وذكر نفس التقرير أن قدرات “LANDFALL” واسعة النطاق ومصممة للمراقبة وجمع المعلومات، حيث تضمنت وظائف قد تسمح بتسجيل الميكروفون والمكالمات، وتتبع الموقع، وسحب الصور وجهات الاتصال وسجلات المكالمات، فضلا عن تحميل مكونات إضافية وتشغيلها، والتلاعب بسياسات SELinux لرفع الامتيازات والحفاظ على البقاء.

كما اعتمدت البرمجية آليات للتملص من أدوات التحليل مثل Frida وXposed، واستخدمت اتصالات مشفرة مع خوادم قيادة وتحكم تعمل عبر منافذ مؤقتة.

وشملت الأجهزة المستهدفة نماذج محددة من عائلة Galaxy، بينها سلاسل S22 وS23 وS24، بالإضافة إلى أجهزة Z Fold4 وZ Flip4.

وتذكر Unit 42 أن الحملة استخدمت بنى تحتية تتضمن مجموعة من عناوين IP ومجالات إلكترونية، بعضها موثق ظهوره خلال 2024 و2025، ما دل على نشاط ممنهج تشغيلي استمر لأشهر.

وأشارت بيانات التحليل إلى احتمال استهداف جهات ودول في منطقة الشرق الأوسط، مع دلائل تشير إلى ملفات أُرسلت من أو استهدفت حسابات تعود إلى العراق وإيران وتركيا والمغرب، وفق بيانات VirusTotal وتحليلات الجهات المختصة.

وأوصت Unit 42 بضرورة تحديث أجهزة سامسونج إلى أحدث إصدارات البرمجيات وتصحيحات الأمان، والامتناع عن فتح ملفات صور DNG أو وسائط مرسلة من مرسلين غير موثوقين، بالإضافة إلى مراجعة أذونات التطبيقات وإزالة أي تطبيقات مريبة وتعطيل صلاحيات الوصول غير الضرورية.

كما أهابت الوحدة بالجهات والمنظمات والأفراد الذين يشتبهون بتعرض أجهزتهم للاختراق بالتواصل مع فرق استجابة الحوادث المتخصصة، مثل فريق Unit 42 Incident Response لدى Palo Alto Networks.