آلية عمل البرنامج
تحليل ملفات DNG (Digital Negative) الخبيثة، التي اكتُشفت على منصة VirusTotal، أظهر أن هجمات LANDFALL شملت المغرب، العراق، إيران، وتركيا. هذه الملفات، التي تبدو عادية، صُممت لاستهداف هواتف سامسونغ جالاكسي عبر استغلال ثغرة معينة في نظام أندرويد.
بمجرد اختراق الجهاز، يسمح LANDFALL بالتحكم الكامل فيه، بما في ذلك:
تشغيل الميكروفون والكاميرا عن بُعد.
تتبع الموقع الجغرافي في الوقت الفعلي.
الوصول إلى الصور، الفيديوهات، جهات الاتصال، الرسائل وسجل المكالمات.
الاطلاع على الملفات الداخلية للجهاز.
طرق الانتشار وأهداف محددة
وفقًا للتقرير، تنتشر هذه البرمجيات عبر صور DNG مُرسلة عبر WhatsApp أو تطبيقات المراسلة الأخرى. فتح ملف واحد يكفي لتثبيت البرنامج الخبيث دون علم المستخدم.
البرنامج لا يستهدف عامة الناس، بل يركز على الدبلوماسيين، المسؤولين الحكوميين، الصحفيين، النشطاء، المدافعين عن حقوق الإنسان، والأشخاص المقربين من دوائر صنع القرار السياسي، ما يشير إلى أن الهدف هو جمع المعلومات أو التأثير على القرار، وليس مجرد اختراق عشوائي.
التوصيات للحماية
على الرغم من أن سامسونغ أصلحت الثغرة في أبريل 2025، فإن العديد من الأجهزة غير المحدثة لا تزال عرضة للاختراق. ويُوصي الخبراء بما يلي:
تحديث نظام أندرويد والتطبيقات، خصوصًا WhatsApp وأدوات المراسلة الأخرى.
تجنب فتح أي ملف مجهول أو غير متوقع، حتى لو جاء من جهة موثوقة، فقد يكون حسابها مخترقًا.
استخدام برنامج مضاد فيروسات موثوق وتفعيل الكشف في الوقت الحقيقي.
إلغاء الصلاحيات الزائدة (ميكروفون، كاميرا، تخزين) للتطبيقات غير الأساسية.
النسخ الاحتياطي الدوري للبيانات على وسائط آمنة.
الاعتماد على مراسلة مشفرة من الطرف إلى الطرف والتحقق من هوية المرسل قبل فتح أي مرفقات.
توعية المهنيين المعرضين للخطر مثل الصحفيين والدبلوماسيين والمنظمات غير الحكومية حول أساليب الهندسة الاجتماعية والاحتيال الإلكتروني.
ويشكل تواجد برنامج LANDFALL في المغرب تهديدًا حقيقيًا للأمن الوطني وخصوصية البيانات وحرية الصحافة. ومن الضروري تعزيز الإجراءات الوقائية، والالتزام بالتحديثات الأمنية، لتجنب الاستهداف الإلكتروني وحماية المعلومات الحساسة من الاختراق.
تحليل ملفات DNG (Digital Negative) الخبيثة، التي اكتُشفت على منصة VirusTotal، أظهر أن هجمات LANDFALL شملت المغرب، العراق، إيران، وتركيا. هذه الملفات، التي تبدو عادية، صُممت لاستهداف هواتف سامسونغ جالاكسي عبر استغلال ثغرة معينة في نظام أندرويد.
بمجرد اختراق الجهاز، يسمح LANDFALL بالتحكم الكامل فيه، بما في ذلك:
تشغيل الميكروفون والكاميرا عن بُعد.
تتبع الموقع الجغرافي في الوقت الفعلي.
الوصول إلى الصور، الفيديوهات، جهات الاتصال، الرسائل وسجل المكالمات.
الاطلاع على الملفات الداخلية للجهاز.
طرق الانتشار وأهداف محددة
وفقًا للتقرير، تنتشر هذه البرمجيات عبر صور DNG مُرسلة عبر WhatsApp أو تطبيقات المراسلة الأخرى. فتح ملف واحد يكفي لتثبيت البرنامج الخبيث دون علم المستخدم.
البرنامج لا يستهدف عامة الناس، بل يركز على الدبلوماسيين، المسؤولين الحكوميين، الصحفيين، النشطاء، المدافعين عن حقوق الإنسان، والأشخاص المقربين من دوائر صنع القرار السياسي، ما يشير إلى أن الهدف هو جمع المعلومات أو التأثير على القرار، وليس مجرد اختراق عشوائي.
التوصيات للحماية
على الرغم من أن سامسونغ أصلحت الثغرة في أبريل 2025، فإن العديد من الأجهزة غير المحدثة لا تزال عرضة للاختراق. ويُوصي الخبراء بما يلي:
تحديث نظام أندرويد والتطبيقات، خصوصًا WhatsApp وأدوات المراسلة الأخرى.
تجنب فتح أي ملف مجهول أو غير متوقع، حتى لو جاء من جهة موثوقة، فقد يكون حسابها مخترقًا.
استخدام برنامج مضاد فيروسات موثوق وتفعيل الكشف في الوقت الحقيقي.
إلغاء الصلاحيات الزائدة (ميكروفون، كاميرا، تخزين) للتطبيقات غير الأساسية.
النسخ الاحتياطي الدوري للبيانات على وسائط آمنة.
الاعتماد على مراسلة مشفرة من الطرف إلى الطرف والتحقق من هوية المرسل قبل فتح أي مرفقات.
توعية المهنيين المعرضين للخطر مثل الصحفيين والدبلوماسيين والمنظمات غير الحكومية حول أساليب الهندسة الاجتماعية والاحتيال الإلكتروني.
ويشكل تواجد برنامج LANDFALL في المغرب تهديدًا حقيقيًا للأمن الوطني وخصوصية البيانات وحرية الصحافة. ومن الضروري تعزيز الإجراءات الوقائية، والالتزام بالتحديثات الأمنية، لتجنب الاستهداف الإلكتروني وحماية المعلومات الحساسة من الاختراق.