Vulnerabilitate zero-day exploatată în dispozitivele Samsung

O vulnerabilitate de securitate, remediată recent, din dispozitivele Samsung Galaxy Android a fost exploatată ca zero-day pentru a furniza un spyware Android commercial-grade numit LANDFALL.

Activitatea a implicat exploatarea CVE-2025-21042 (scor CvSS: 8.8/10), o vulnerabilitate de tip  out-of-bounds write în componenta libimagecodec.quram.so ce ar putea permite atacatorilor la distanță să execute cod arbitrar, potrivit Palo Alto Networks Unit 42. Problema a fost remediată de Samsung în aprilie 2025.

Această informație vine după ce Samsung a dezvăluit în septembrie 2025 că o altă vulnerabilitate din aceeași bibliotecă (CVE-2025-21043, scor CvSS: 8.8/10) a fost, de asemenea, exploatată ca zero-day. Nu există elemente care să indice că această vulnerabilitate de securitate a fost utilizată în campania LANDFALL.

Se estimează că atacurile au implicat trimiterea prin WhatsApp a unor imagini malițioase sub formă de fișiere DNG (Digital Negative), existând dovezi ale existenței unor mostre LANDFALL încă din 23 iulie 2024. Aceasta se bazează pe elemente DNG cu nume precum WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg și IMG-20240723-WA0000.jpg.

Odată instalat și executat, LANDFALL acționează ca un instrument de spionare complex, capabil să colecteze date sensibile, inclusiv înregistrări ale microfonului, locație, fotografii, contacte, SMS-uri, fișiere și înregistrări ale apelurilor.

Deși Unit 42 a afirmat că lanțul de exploatare ar fi putut implica utilizarea unei metode zero-click pentru a declanșa exploatarea CVE-2025-21042 fără a necesita interacțiune din partea utilizatorului, în prezent nu există elemente care să indice că acest lucru s-a întâmplat sau că există o problemă de securitate necunoscută în WhatsApp care să susțină această ipoteză.

Spyware-ul Android este conceput special pentru a viza dispozitivele Samsung din seriile Galaxy S22, S23 și S24, precum și Z Fold 4 și Z Flip 4, vizând unele dintre dispozitivele de vârf, cu excepția celei mai recente generații.

De remarcat faptul că, în aceeași perioadă, WhatsApp a dezvăluit că o vulnerabilitate în aplicația sa de mesagerie pentru iOS și macOS (CVE-2025-55177, scor CvSS: 5.4/10) a fost asociată cu CVE-2025-43300 (scor CvSS: 8.8/10), o vulnerabilitate în Apple iOS, iPadOS și macOS pentru a viza mai puțin de 200 de utilizatori ca parte a unei campanii complexe. Apple și WhatsApp au remediat între timp vulnerabilitățile.

Analiza efectuată de Unit 42 asupra fișierelor DNG descoperite arată că acestea conțin un fișier ZIP încorporat la sfârșitul fișierului, exploitul fiind utilizat pentru a extrage o bibliotecă de obiecte partajate din arhivă pentru a rula spyware-ul. În arhivă se află și un alt obiect partajat, conceput pentru a manipula politica SELinux a dispozitivului, pentru a acorda permisiuni extinse LANDFALL și a facilita persistența.

Obiectul partajat care încarcă LANDFALL comunică, de asemenea, cu un server de comandă și control (C2) prin HTTPS pentru a intra într-o buclă de urmărire și a descărca payload-uri nespecificate pentru etapa următoare, în vederea executării ulterioare.

În prezent nu se știe cine se află în spatele spyware-ului sau al campaniei. Cu toate acestea, Unit 42 a afirmat că infrastructura C2 și modelele de înregistrare a domeniilor LANDFALL se potrivesc cu cele ale Stealth Falcon (cunoscut și sub numele de FruityArmor), deși, până în octombrie 2025, nu s-au detectat suprapuneri directe între cele două clustere.

Sursă: https://thehackernews.com/2025/11/samsung-zero-click-flaw-exploited-to.html