Descoperire alarmantă pentru utilizatorii Samsung Galaxy
Un nou atac cibernetic vizează telefoanele Samsung Galaxy, exploatând o vulnerabilitate critică zero-day (CVE-2025-21042) pentru a instala spyware-ul LandFall pe dispozitivele vizate. Atacul, confirmat de cercetătorii Palo Alto Networks Unit 42, a fost activ începând cu mijlocul anului 2024 și s-a concentrat pe utilizatori din Orientul Mijlociu, inclusiv Iraq, Iran, Turcia și Maroc.
Vulnerabilitatea CVE-2025-21042 are un rating de severitate 9,8/10, fiind clasificată drept critică. Aceasta constă într-un out-of-bounds write în librăria de procesare a imaginilor libimagecodec.quram.so, utilizată pe telefoanele Galaxy pentru gestionarea fișierelor DNG (Digital Negative).
Cum funcționează atacul
Atacatorii au folosit WhatsApp ca vector de livrare, trimițând fișiere DNG malițioase, la care au atașat un fișier ZIP la finalul imaginii. Această metodă a permis exploatarea vulnerabilității fără ca utilizatorul să interacționeze cu fișierul – ceea ce se numește un “zero-click attack”.
Odată instalat, LandFall poate colecta informații, monitoriza și manipula dispozitivul pe multiple niveluri:
Fingerprinting și informații despre dispozitiv
– Sistem de operare și versiune
– ID-ul hardware (IMEI)
– ID-ul SIM / abonat (IMSI)
– Seria cardului SIM
– Conturi utilizator
– Număr mesagerie vocală
– Configurația rețelei
– Inventarierea aplicațiilor instalate
– Servicii de localizare
– Starea VPN
– Starea USB Debugging
– Bluetooth
Exfiltrarea datelor
– Activarea microfonului și înregistrarea convorbirilor
– Istoricul apelurilor
– Contacte și mesaje SMS/messenger
– Fotografii
– Fișiere arbitrare și baze de date (inclusiv istoricul browserului)
– Execuție, încărcare și persistență
– Încărcarea modulelor native .so
– Încărcarea și executarea fișierelor DEX din memorie și disc
– Injectarea proceselor și executarea prin LD_PRELOAD
– Executarea comenzilor arbitrare
– Manipularea politicilor SELinux pentru persistență
– Monitorizarea directorului media WhatsApp pentru noi payload-uri
– Înregistrarea clientului WhatsApp Web
– Manipularea sistemului de fișiere în directoarele aplicațiilor Android
Evitarea detecției
– Detectarea debugger-ului TracerPid
– Detectarea framework-urilor Frida și Xposed
– Încărcarea dinamică a librăriilor cu manipulare namespace
– Certificate pinning pentru comunicațiile C2
– Curățarea imaginilor WhatsApp folosite ca payload.
Dispozitivele vizate includ seriile Galaxy S22, S23, S24, Z Fold 4 și Z Flip 4, cu versiunile Android 13–15. Cele mai recente modele Samsung par să fie sigure.
Cine este în spatele atacului?
Cercetătorii suspectează grupul Stealth Falcon, cunoscut pentru atacuri asupra activiștilor din Emiratele Arabe Unite. Infrastructura serverelor de comandă și control (C2) a LandFall indică operațiuni țintite, mai degrabă decât distribuții masive.
Aspecte tehnice
Atacul se bazează pe manipularea fișierelor DNG pentru a forța biblioteca vulnerabilă să extragă și să execute biblioteci partajate (.so), instalând spyware-ul fără alertarea utilizatorului.
Partea “b.so” a malware-ului se conectează la serverul C2 prin HTTPS, folosind un port TCP temporar și transmite date detaliate despre dispozitiv și instanța spyware-ului, inclusiv ID-ul agentului, căile dispozitivului și identificatorul utilizatorului.
Această metodă permite LandFall să fie extrem de invizibil.
Recomandări pentru utilizatori
– Actualizarea imediată a dispozitivelor este esențială. Patch-ul de securitate Samsung pentru CVE-2025-21042 a fost publicat în aprilie 2025, iar toate telefoanele Galaxy vulnerabile trebuie aduse la această versiune sau la una ulterioară.
– Atenție sporită la fișierele primite prin aplicații de mesagerie. Imaginile, linkurile sau atașamentele suspecte nu trebuie deschise, indiferent de sursa aparent sigură.
– Dezactivarea previzualizării automate a imaginilor este recomandată atunci când aplicația permite această opțiune.
– Verificarea și limitarea permisiunilor aplicațiilor contribuie semnificativ la reducerea riscului. Accesul la microfon, cameră, contacte și locație trebuie restricționat pentru aplicațiile fără necesitate reală.
– Utilizarea soluțiilor de securitate mobile (antivirus sau aplicații dedicate) poate ajuta la detectarea comportamentelor anormale și prevenirea instalării de malware.
– Realizarea periodică a copiilor de siguranță (backup) în cloud și local reduce impactul în cazul unui incident.
– Repornierea dispozitivului (zilnic sau de câteva ori pe săptămână) poate întrerupe procesele suspecte, reduce eficiența exploit-urilor rezidente în memorie și menține performanța optimă
– Campania LandFall arată cât de sofisticate și țintite pot fi atacurile cibernetice asupra dispozitivelor mobile. Exploatarea vulnerabilităților zero-day pentru supraveghere indică o realitate în care spyware-ul comercial devine unealtă pentru operațiuni statale sau grupuri bine finanțate.
– Cel mai eficient mod de protecție rămâne actualizarea la zi a telefonului și prudența extremă în gestionarea fișierelor și mesajelor primite.
Accesează și:
– LANDFALL: New Commercial-Grade Android Spyware in Exploit Chain Targeting Samsung Devices – unit42.paloaltonetworks.com
Foto: ”freepik.com”
