Um grupo ameaçador explorou uma vulnerabilidade zero-day na biblioteca de processamento de imagens do Android da Samsung para disseminar um spyware até então desconhecido, chamado "LandFall".
A infecção ocorria por meio de imagens maliciosas enviadas via WhatsApp.
A falha de segurança, identificada como
CVE-2025-21042
, foi corrigida em abril deste ano.
No entanto, pesquisas indicam que a operação LandFall estava ativa desde pelo menos julho de 2024, com ataques direcionados a usuários selecionados da linha Samsung Galaxy na região do Oriente Médio.
Trata-se de uma vulnerabilidade do tipo out-of-bounds write na biblioteca libimagecodec.quram.so, com classificação de severidade crítica.
Se explorada com sucesso por invasores remotos, permite a execução arbitrária de código no dispositivo comprometido.
Segundo especialistas da Unit 42, equipe de inteligência da Palo Alto Networks, o spyware LandFall provavelmente é uma plataforma comercial de vigilância usada em ataques direcionados.
O vetor inicial do ataque envolve o envio de uma imagem malformada no formato .DNG (raw), que contém um arquivo .ZIP anexado ao final.
Os pesquisadores analisaram amostras enviadas à plataforma VirusTotal a partir de 23 de julho de 2024.
A origem dos arquivos aponta para o WhatsApp como canal de entrega, conforme evidenciado pelos nomes utilizados nos arquivos.
Tecnicamente, as imagens DNG incorporam dois componentes principais: um loader (b.so), responsável por buscar e carregar módulos adicionais; e um manipulador de políticas SELinux (l.so), capaz de modificar configurações de segurança do dispositivo para elevar privilégios e garantir persistência.
O spyware identifica dispositivos por meio de fingerprinting, coletando dados do hardware e do SIM, como IMEI, IMSI, número do SIM, conta do usuário, Bluetooth, serviços de localização e lista de aplicativos instalados.
Além disso, o malware apresenta funcionalidades avançadas, como execução de módulos sob demanda, mecanismos de persistência, evasão de detecção e bypass de proteções nativas do sistema.
Entre os recursos de espionagem estão:
- Gravação do microfone
- Gravação de chamadas
- Rastreamento de localização
- Acesso a fotos, contatos, SMS, registros de chamadas e arquivos
- Monitoramento do histórico de navegação
De acordo com a Unit 42, os dispositivos-alvo do LandFall são modelos das séries Galaxy S22, S23 e S24, além dos Z Fold4 e Z Flip4.
Curiosamente, os aparelhos da linha mais recente, S25, aparentemente não foram afetados.
O uso do formato DNG como vetor neste caso integra uma tendência de exploração crescente de imagens maliciosas em ferramentas comerciais de spyware.
Em ataques anteriores, foram reportadas cadeias de exploração envolvendo DNG no iOS (CVE-2025-43300) e também no WhatsApp (
CVE-2025-55177
).
A Samsung corrigiu recentemente outra vulnerabilidade,
CVE-2025-21043
, também relacionada à libimagecodec.quram.so, descoberta por pesquisadores de segurança do WhatsApp.
Os dados coletados das amostras indicam que os alvos estão principalmente em países como Iraque, Irã, Turquia e Marrocos.
A Unit 42 identificou seis servidores de comando e controle (C2) vinculados à campanha LandFall, alguns sinalizados por atividades maliciosas pelo CERT da Turquia.
A análise dos registros de domínios e da infraestrutura revela semelhanças com operações do grupo Stealth Falcon, originário dos Emirados Árabes Unidos.
Outro indício é o uso do nome “Bridge Head” para o loader, uma convenção comum em produtos ligados a grupos e fornecedores como NSO Group, Variston, Cytrox e Quadream.
Entretanto, até o momento, não foi possível associar LandFall com certeza a nenhum grupo ou fornecedor de spyware conhecido.
Para se proteger contra esse tipo de ameaça, recomenda-se atualizar rapidamente o sistema operacional móvel e os aplicativos usados.
Também é importante desabilitar o download automático de mídias em apps de mensagem e considerar ativar recursos como o “Advanced Protection” no Android e o “Lockdown Mode” no iOS.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...