LANDFALL: раскрыта сложная кампания шпионского ПО для Android через уязвимость в Samsung

Атака начиналась с отправки целевым пользователям специально сформированного изображения в формате DNG через мессенджер WhatsApp. Файл содержал скрытый ZIP-архив со шпионским ПО. При обработке изображения на устройстве Samsung активировалась уязвимость CVE-2025-21042 в библиотеке libimagecodec.quram.so. В результате эксплойт извлекал и запускал вредоносные компоненты прямо из архива.

LANDFALL представляет собой модульное шпионское ПО, специально разработанное для устройств Samsung. Оно состоит как минимум из двух ключевых компонентов. Основной загрузчик b.so выступает в роли бэкдора, а компонент l.so манипулирует политикой безопасности SELinux для получения повышенных привилегий и обеспечения устойчивости. При этом загрузчик ссылается на себя под именем "Bridge Head", что является распространенным обозначением для начальных загрузчиков в коммерческом шпионском ПО.

Анализ возможностей шпионского ПО выявил широкий спектр функций для слежки. В частности, программа может записывать разговоры через микрофон, отслеживать местоположение, извлекать фотографии, контакты и историю вызовов. Кроме того, она способна собирать данные о подключенных сетях, установленных приложениях и статусе отладки USB.

Исследователи обнаружили шесть командных серверов, связанных с LANDFALL, которые использовали домены, маскирующиеся под легитимные сайты. Анализ данных VirusTotal указывает на потенциальных жертв в Ираке, Иране, Турции и Марокко. При этом инфраструктура и методы работы демонстрируют сходство с известными коммерческими шпионскими операциями на Ближнем Востоке.

Важно отметить, что уязвимость CVE-2025-21042 была устранена Samsung в апреле 2025 года. Позднее, в сентябре, компания исправила еще одну уязвимость нулевого дня CVE-2025-21043 в той же библиотеке обработки изображений. Таким образом, пользователи современных устройств Samsung с актуальными обновлениями безопасности защищены от этой угрозы.

Это открытие подчеркивает растущую тенденцию использования уязвимостей в обработке изображений DNG для атак на мобильные устройства. Аналогичные цепочки эксплойтов ранее наблюдались и в экосистеме Apple iOS. Обнаружение LANDFALL демонстрирует, насколько сложные угрозы могут длительное время оставаться незамеченными, подчеркивая важность своевременного обновления программного обеспечения и использования комплексных решений безопасности.

IPv4

• 192.36.57.56
• 194.76.224.127
• 45.155.250.158
• 46.246.28.75
• 91.132.92.35
• 92.243.65.240

Domains

• brightvideodesigns.com
• healthyeatingontherun.com
• hotelsitereview.com
• projectmanagerskills.com

SHA256

• 211311468f3673f005031d5f77d4d716e80cbf3c1f0bb1f148f2200920513261
• 2425f15eb542fca82892fd107ac19d63d4d112ddbfe698650f0c25acf6f8d78a
• 29882a3c426273a7302e852aa77662e168b6d44dcebfca53757e29a9cdf02483
• 384f073d3d51e0f2e1586b6050af62de886ff448735d963dfc026580096d81bd
• 69cf56ac6f3888efa7a1306977f431fd1edb369a5fd4591ce37b72b7e01955ee
• 9297888746158e38d320b05b27b0032b2cc29231be8990d87bc46f1e06456f93
• a62a2400bf93ed84ebadf22b441924f904d3fcda7d1507ba309a4b1801d44495
• b06dec10e8ad0005ebb9da24204c96cb2e297bd8d418bc1c8983d066c0997756
• b45817ffb0355badcc89f2d7d48eecf00ebdf2b966ac986514f9d971f6c57d18
• b975b499baa3119ac5c2b3379306d4e50b9610e9bba3e56de7dfd3927a96032d
• c0f30c2a2d6f95b57128e78dc0b7180e69315057e62809de1926b75f86516b2e
• d2fafc7100f33a11089e98b660a85bd479eab761b137cca83b1f6d19629dd3b0
• ffeeb0356abb56c5084756a5ab0a39002832403bca5290bb6d794d14b642ffe2