Falha zero-day em celulares Samsung Galaxy é usada para espalhar spyware LANDFALL no Oriente Médio

Uma vulnerabilidade crítica em dispositivos Samsung Galaxy foi explorada como zero-day para distribuir um spyware avançado conhecido como LANDFALL, em uma série de ataques direcionados no Oriente Médio. Segundo pesquisadores da Unit 42, da Palo Alto Networks, o problema estava no componente “libimagecodec.quram.so”, permitindo que hackers executassem código remoto em aparelhos vulneráveis. A falha, identificada como CVE-2025-21042 e com pontuação CVSS 8.8, foi corrigida pela Samsung em abril de 2025, mas já vinha sendo usada em ataques antes da atualização.

Os invasores teriam explorado a brecha enviando imagens DNG maliciosas via WhatsApp, que ao serem processadas, ativavam o código de exploração. As amostras mais antigas do LANDFALL remontam a julho de 2024, com nomes de arquivos típicos de compartilhamento no aplicativo, como “WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg”. Embora ainda não haja confirmação de que o ataque tenha sido “zero-click” — ou seja, sem qualquer interação do usuário — os pesquisadores não descartam essa possibilidade.

O spyware foi projetado para espionar e exfiltrar dados sensíveis, incluindo gravações de microfone, localização, fotos, contatos, mensagens, arquivos e histórico de chamadas, afetando especialmente modelos Galaxy S22, S23, S24, Z Fold 4 e Z Flip 4.

De acordo com Itay Cohen, pesquisador sênior da Unit 42, o malware LANDFALL funciona de forma modular, baixando novos componentes a partir de um servidor de comando e controle (C2) hospedado em infraestrutura online ainda ativa.

O pacote de ataque incluía um arquivo ZIP embutido nas imagens DNG, contendo bibliotecas responsáveis por explorar a vulnerabilidade, modificar políticas de segurança SELinux e garantir persistência e privilégios elevados no sistema. O servidor C2 se comunicava via HTTPS para manter um loop de beaconing e receber instruções ou novos módulos.

Embora não se saiba ao certo quem está por trás do spyware, a Unit 42 observou semelhanças entre a infraestrutura do LANDFALL e operações anteriores do grupo hacker Stealth Falcon (também conhecido como FruityArmor), conhecido por campanhas de vigilância patrocinadas por Estados na região. As descobertas indicam que o LANDFALL faz parte de uma onda mais ampla de exploração de arquivos DNG, também usada em ataques a dispositivos iPhone durante o mesmo período. Mesmo após os patches, parte da infraestrutura associada ao spyware continua ativa, sugerindo possível atividade remanescente dos mesmos operadores.

Em setembro de 2025, a Samsung revelou outra vulnerabilidade na mesma biblioteca (CVE-2025-21043), também explorada como zero-day. Embora não haja evidências de que essa falha tenha sido usada na campanha LANDFALL, o caso reforça a necessidade de atualizações de segurança imediatas e monitoramento contínuo em dispositivos Android. Tanto Apple quanto WhatsApp também corrigiram falhas similares que foram usadas em ataques sofisticados envolvendo menos de 200 vítimas ao redor do mundo.

Via - THN