IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

Spyware LandFall zneužil zero-day v Samsungu přes WhatsApp zprávy

Spyware LandFall zneužil zero-day v Samsungu přes WhatsApp zprávy

Útočník podle dostupných informací zneužil zero-day zranitelnost v knihovně pro zpracování obrázků na Androidu od Samsungu a nasadil dosud neznámý spyware LandFall přes škodlivé obrázky ve WhatsApp. Chyba byla opravena letos v dubnu, ale stopy v dostupných vzorcích naznačují, že aktivita probíhala nejméně od července 2024 a mířila na vybrané uživatele Samsung Galaxy na Středním východě.

Zranitelnost je vedená jako CVE-2025-21042 a jde o chybu typu out-of-bounds write v libimagecodec.quram.so. Při úspěšném zneužití může vzdálený útočník na cílovém zařízení spustit libovolný kód, což odpovídá kritické úrovni závažnosti.

Podle jednotky Unit 42 společnosti Palo Alto Networks je LandFall pravděpodobně komerční sledovací framework používaný při cílených průnicích. Útoky mají začínat doručením poškozeného raw souboru .DNG, který má na konci připojený archiv .ZIP.

Autoři analýzy uvádějí, že získali a prozkoumali vzorky, které se objevily na skenovací platformě VirusTotal od 23. července 2024, a na základě použitých názvů souborů určili WhatsApp jako kanál doručení. DNG soubory mají obsahovat dvě hlavní komponenty: zavaděč (b.so) pro získávání a načítání dalších modulů a komponentu pro práci se zásadami SELinux (l.so), která má upravovat bezpečnostní nastavení zařízení s cílem zvýšit oprávnění a zajistit perzistenci.

LandFall má podle dostupných informací profilovat zařízení na základě hardwarových a SIM identifikátorů, například přes IMEI, IMSI, číslo SIM karty, uživatelský účet, Bluetooth, lokalizační služby nebo seznam nainstalovaných aplikací. Mezi pozorované schopnosti patří spouštění modulů, zajištění persistence, vyhýbání se detekci a obcházení ochran. Špionážní funkce mají zahrnovat nahrávání z mikrofonu, nahrávání hovorů, sledování polohy a přístup k fotografiím, kontaktům, SMS, záznamům hovorů, souborům i historii prohlížení.

Podle analýzy Unit 42 se spyware zaměřuje na Galaxy S22, S23 a S24 a také na Z Fold 4 a Z Flip 4, tedy na širokou škálu vlajkových modelů, s výjimkou nejnovější řady S25. Zpráva zároveň připomíná, že zneužívání formátu DNG se v poslední době objevuje i u dalších komerčních špionážních nástrojů, a zmiňuje dřívější exploitační řetězce pro iOS (CVE-2025-43300) a WhatsApp (CVE-2025-55177). Samsung také nedávno opravil CVE-2025-21043, která má rovněž ovlivňovat libimagecodec.quram.so, poté co ji objevili a nahlásili odborníci z WhatsApp.

Zdroj: Bleeping Computer