Cercetătorii Unit 42 dezvăluie LandFall: spyware ce exploatează zero‑day (CVE‑2025‑21042) pe Samsung Galaxy prin imagini WhatsApp. Patch în aprilie 2025.
© A. Krivonosov
Cercetătorii Unit 42 de la Palo Alto Networks au descoperit o campanie de amploare care, în ultimul an, a folosit malware-ul LandFall pentru a infecta smartphone-uri Samsung Galaxy în Orientul Mijlociu. Codul malițios s-a răspândit prin imagini trimise pe WhatsApp și a exploatat o vulnerabilitate zero‑day într-o bibliotecă de procesare a imaginilor pentru Android creată de Samsung. Faptul că un simplu fișier foto poate deveni vector de atac spune mult despre cât de ingenioase au devenit aceste operațiuni.
Exploatarea le-a permis atacatorilor să ruleze cod arbitrar pe dispozitiv, obținând practic control total. Odată pătruns, LandFall a deschis acces la date personale — de la fotografii, conversații și contacte până la microfon și localizare în timp real. Nu era nevoie de atins pe un link sau de descărcări: primirea unei imagini capcană era suficientă pentru compromitere. Tocmai această discreție explică de ce unii utilizatori nici nu își dau seama că au devenit țintă.
Potrivit specialiștilor, atacurile au început în iulie 2024 și au vizat dispozitive Galaxy S22, S23 și S24, precum și anumite modele Galaxy Z Fold. Infecțiile au fost observate în Turcia, Maroc, Iran și Irak. Experții apreciază LandFall drept spyware comercial folosit în operațiuni țintite împotriva unor persoane specifice, iar selecția geografică și de modele indică o campanie precisă, nu o răspândire haotică.
Vulnerabilitatea, urmărită ca CVE‑2025‑21042, a fost remediată în actualizarea de securitate din aprilie 2025. Modelele cele mai recente, inclusiv Galaxy S25, nu sunt afectate. Când atacul pătrunde printr-o fotografie obișnuită, autosuficiența devine cea mai mare slăbiciune — un semnal clar că actualizările de securitate trebuie instalate prompt, chiar dacă telefonul nu mai primește upgrade-uri complete ale sistemului de operare.