Uma vulnerabilidade já corrigida em dispositivos Samsung Galaxy foi explorada como zero-day para instalar o spyware “comercial” LANDFALL em alvos localizados no Oriente Médio, segundo pesquisa da Unit 42, equipe de inteligência da Palo Alto Networks.
O ponto de entrada foi a falha CVE-2025-21042 (pontuação CVSS: 8,8), um out-of-bounds write no componente libimagecodec.quram.so, corrigido pela Samsung em abril de 2025. Antes da atualização, cibercriminosos teriam enviado imagens maliciosas no formato DNG pelo WhatsApp para comprometer aparelhos sem qualquer interação do usuário – técnica conhecida como zero-click.
Alvos e linha do tempo
As amostras analisadas indicam que a campanha, classificada como CL-UNK-1054, remonta a 23 de julho de 2024. Dados do VirusTotal apontam potenciais vítimas em Iraque, Irã, Turquia e Marrocos. Nomes de arquivos como “WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg” e “IMG-20240723-WA0000.jpg” reforçam o uso do mensageiro como vetor.
Como o ataque funciona
Os arquivos DNG continham um arquivo ZIP embutido. Após explorar a falha, o código extraía uma biblioteca compartilhada para executar o LANDFALL. Outro módulo dentro do pacote ajustava a política SELinux do dispositivo, concedendo privilégios elevados e garantindo persistência.
Já em execução, o LANDFALL coleta gravações de microfone, localização, fotos, contatos, SMS, arquivos e registros de chamadas. O spyware também inicia comunicação HTTPS com um servidor de comando e controle (C2) para receber cargas adicionais.
Outras falhas relacionadas
Em setembro de 2025, a Samsung divulgou que outra vulnerabilidade no mesmo componente, a CVE-2025-21043 (CVSS: 8,8), também havia sido explorada em ataques in the wild, mas não há indícios de seu uso nesta campanha específica.
Imagem: Internet
No mesmo período, o WhatsApp informou a exploração combinada da falha CVE-2025-55177, em seus aplicativos para iOS e macOS, com a CVE-2025-43300, do ecossistema Apple, em uma operação que teria mirado menos de 200 usuários. Essas brechas já foram corrigidas.
Responsabilidade ainda desconhecida
Embora não haja confirmação sobre os autores, a Unit 42 observou que a infraestrutura de C2 e o padrão de registro de domínios lembram o grupo Stealth Falcon (também conhecido como FruityArmor). Até outubro de 2025, porém, não foram identificadas sobreposições diretas entre as campanhas.
Com informações de The Hacker News
