Phần mềm gián điệp LandFall mới khai thác lỗ hổng zero-day của Samsung thông qua tin nhắn WhatsApp

Sự cố bảo mật được vá vào tháng 4/2025, nhưng các nhà nghiên cứu đã tìm thấy bằng chứng cho thấy hoạt động LandFall diễn ra ít nhất từ ​​tháng 7/2024 và nhắm mục tiêu vào một số người dùng Samsung Galaxy ở Trung Đông.

Với mã định danh CVE-2025-21042, lỗ hổng zero-day này là một lỗi ghi ngoài giới hạn trong libimagecodec.quram.so và được xếp hạng mức độ nghiêm trọng. Kẻ tấn công từ xa khai thác thành công lỗ hổng có thể thực thi mã tùy ý trên thiết bị mục tiêu.

Theo các nhà nghiên cứu tại hãng bảo mật Palo Alto Networks, phần mềm gián điệp LandFall có khả năng là một framework giám sát thương mại được sử dụng trong các cuộc xâm nhập có chủ đích. Các cuộc tấn công bắt đầu bằng việc gửi một tệp hình ảnh thô định dạng .DNG bị lỗi kèm theo tệp nén .ZIP ở cuối tệp.

Hình 1. ZIP nhúng trong tệp hình ảnh

Các nhà nghiên cứu đã thu thập và kiểm tra các mẫu được gửi đến VirusTotal bắt đầu từ ngày 23/7/2024, chỉ ra WhatsApp là kênh phân phối, dựa trên tên tệp được sử dụng.

Về mặt kỹ thuật, DNG nhúng hai thành phần chính: loader (b.so) có thể truy xuất và tải các mô-đun bổ sung, cùng với trình driver SELinux (l.so), sửa đổi cài đặt bảo mật trên thiết bị để leo thang quyền và duy trì tính bền vững.