Шпионски софтуер хаква смартфони Samsung с един файл

Изследователи от Palo Alto Networks Unit 42 разкриха, че уязвимост в Samsung Galaxy устройства е била използвана като zero-day експлойт за разпространение на нов Android шпионски софтуер, наречен LANDFALL.

Уязвимостта, обозначена като CVE-2025-21042 с оценка CVSS 8.8, се намира в библиотеката libimagecodec.quram.so и е позволявала отдалечено изпълнение на код. Проблемът е бил отстранен през април 2025 г., след като Samsung е получила сигнали за активни атаки. Според данните, засегнатите устройства включват моделите Galaxy S22, S23, S24, Z Fold 4 и Z Flip 4, а целите на кампанията са били потребители в Ирак, Иран, Турция и Мароко.

Атаките са използвали злонамерени изображения във формат DNG, изпращани чрез WhatsApp, като файловете са съдържали вграден ZIP архив с шпионския софтуер. След изпълнение LANDFALL е получавал разширени права чрез манипулиране на SELinux политиките на устройството и е осъществявал връзка с команден сървър (C2) за получаване на допълнителни модули.

Инсталирането на LANDFALL дава на атакуващите достъп до микрофонни записи, снимки, контакти, SMS, файлове, местоположение и журнали на обажданията. Анализът на Unit 42 показва, че зловредният софтуер е модулна платформа, способна да изтегля и стартира допълнителни компоненти за по-задълбочено наблюдение.

Не е установено коя група стои зад атаките, но инфраструктурата на LANDFALL има сходства с операциите на Stealth Falcon (известна още като FruityArmor), активна в Близкия изток. Макар уязвимостта вече да е поправена, някои свързани инфраструктури остават активни, което предполага възможни последващи кампании.

Според Unit 42, случаят подчертава растящата сложност на експлойтите в мобилната среда и нуждата потребителите да инсталират редовно актуализациите на сигурността.