🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Uma falha de segurança agora corrigida em dispositivos Android Samsung Galaxy foi explorada como um dia zero para entregar um spyware Android de “nível comercial” apelidado de LANDFALL em ataques direcionados no Oriente Médio.
A atividade envolveu a exploração de CVE-2025-21042 (pontuação CVSS: 8,8), uma falha de gravação fora dos limites no componente "libimagecodec.quram.so" que poderia permitir que invasores remotos executassem código arbitrário, de acordo com a Unidade 42 da Palo Alto Networks. O problema foi resolvido pela Samsung em abril de 2025.
“Esta vulnerabilidade foi explorada ativamente antes que a Samsung a corrigisse em abril de 2025, após relatos de ataques em estado selvagem”, disse a Unidade 42. Os alvos potenciais da atividade, rastreados como CL-UNK-1054, estão localizados no Iraque, Irã, Turquia e Marrocos com base nos dados enviados pelo VirusTotal.
O desenvolvimento ocorre no momento em que a Samsung divulga em setembro de 2025 que outra falha na mesma biblioteca (CVE-2025-21043, pontuação CVSS: 8,8) também foi explorada como um dia zero. Não há evidências de que esta falha de segurança tenha sido transformada em arma na campanha LANDFALL.
Avalia-se que os ataques envolveram o envio via WhatsApp de imagens maliciosas na forma de arquivos DNG (Digital Negative), com evidências de amostras LANDFALL que remontam a 23 de julho de 2024. Isso se baseia em artefatos DNG com nomes como "WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg" e "IMG-20240723-WA0000.jpg".
O LANDFALL, uma vez instalado e executado, atua como uma ferramenta de espionagem abrangente, capaz de coletar dados confidenciais, incluindo gravação de microfone, localização, fotos, contatos, SMS, arquivos e registros de chamadas. Diz-se que a cadeia de exploração provavelmente envolveu o uso de uma abordagem de zero clique para desencadear a exploração de CVE-2025-21042 sem exigir qualquer interação do usuário.
Fluxograma para spyware LANDFALL
É importante notar que, na mesma época, o WhatsApp divulgou que uma falha em seu aplicativo de mensagens para iOS e macOS (CVE-2025-55177, pontuação CVSS: 5,4) foi encadeada junto com CVE-2025-43300 (pontuação CVSS: 8,8), uma falha no Apple iOS, iPadOS e macOS, para atingir potencialmente menos de 200 usuários como parte de uma campanha sofisticada. Desde então, a Apple e o WhatsApp corrigiram as falhas.
Linha do tempo para arquivos de imagem DNG maliciosos recentes e atividades de exploração associadas
A análise da Unidade 42 dos arquivos DNG descobertos mostra que eles vêm com um arquivo ZIP incorporado anexado ao final do arquivo, com a exploração sendo usada para extrair uma biblioteca de objetos compartilhados do arquivo para executar o spyware. Também está presente no arquivo outro objeto compartilhado projetado para manipular a política SELinux do dispositivo para conceder permissões elevadas ao LANDFALL e facilitar a persistência.
O objeto compartilhado que carrega LANDFALL também se comunica com um servidor de comando e controle (C2) por HTTPS para entrar em um loop de beaconing e receber cargas não especificadas do próximo estágio para execução subsequente.
Atualmente não se sabe quem está por trás do spyware ou da campanha. Dito isto, a Unidade 42 disse que a infraestrutura C2 e os padrões de registro de domínio do LANDFALL se encaixam com os do Stealth Falcon (também conhecido como FruityArmor), embora, em outubro de 2025, nenhuma sobreposição direta entre os dois clusters tenha sido detectada.
“Desde o aparecimento inicial das amostras em julho de 2024, esta atividade destaca como explorações sofisticadas podem permanecer em repositórios públicos por um longo período antes de serem totalmente compreendidas”, disse a Unidade 42.
A atividade envolveu a exploração de CVE-2025-21042 (pontuação CVSS: 8,8), uma falha de gravação fora dos limites no componente "libimagecodec.quram.so" que poderia permitir que invasores remotos executassem código arbitrário, de acordo com a Unidade 42 da Palo Alto Networks. O problema foi resolvido pela Samsung em abril de 2025.
“Esta vulnerabilidade foi explorada ativamente antes que a Samsung a corrigisse em abril de 2025, após relatos de ataques em estado selvagem”, disse a Unidade 42. Os alvos potenciais da atividade, rastreados como CL-UNK-1054, estão localizados no Iraque, Irã, Turquia e Marrocos com base nos dados enviados pelo VirusTotal.
O desenvolvimento ocorre no momento em que a Samsung divulga em setembro de 2025 que outra falha na mesma biblioteca (CVE-2025-21043, pontuação CVSS: 8,8) também foi explorada como um dia zero. Não há evidências de que esta falha de segurança tenha sido transformada em arma na campanha LANDFALL.
Avalia-se que os ataques envolveram o envio via WhatsApp de imagens maliciosas na forma de arquivos DNG (Digital Negative), com evidências de amostras LANDFALL que remontam a 23 de julho de 2024. Isso se baseia em artefatos DNG com nomes como "WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg" e "IMG-20240723-WA0000.jpg".
O LANDFALL, uma vez instalado e executado, atua como uma ferramenta de espionagem abrangente, capaz de coletar dados confidenciais, incluindo gravação de microfone, localização, fotos, contatos, SMS, arquivos e registros de chamadas. Diz-se que a cadeia de exploração provavelmente envolveu o uso de uma abordagem de zero clique para desencadear a exploração de CVE-2025-21042 sem exigir qualquer interação do usuário.
Fluxograma para spyware LANDFALL
É importante notar que, na mesma época, o WhatsApp divulgou que uma falha em seu aplicativo de mensagens para iOS e macOS (CVE-2025-55177, pontuação CVSS: 5,4) foi encadeada junto com CVE-2025-43300 (pontuação CVSS: 8,8), uma falha no Apple iOS, iPadOS e macOS, para atingir potencialmente menos de 200 usuários como parte de uma campanha sofisticada. Desde então, a Apple e o WhatsApp corrigiram as falhas.
Linha do tempo para arquivos de imagem DNG maliciosos recentes e atividades de exploração associadas
A análise da Unidade 42 dos arquivos DNG descobertos mostra que eles vêm com um arquivo ZIP incorporado anexado ao final do arquivo, com a exploração sendo usada para extrair uma biblioteca de objetos compartilhados do arquivo para executar o spyware. Também está presente no arquivo outro objeto compartilhado projetado para manipular a política SELinux do dispositivo para conceder permissões elevadas ao LANDFALL e facilitar a persistência.
O objeto compartilhado que carrega LANDFALL também se comunica com um servidor de comando e controle (C2) por HTTPS para entrar em um loop de beaconing e receber cargas não especificadas do próximo estágio para execução subsequente.
Atualmente não se sabe quem está por trás do spyware ou da campanha. Dito isto, a Unidade 42 disse que a infraestrutura C2 e os padrões de registro de domínio do LANDFALL se encaixam com os do Stealth Falcon (também conhecido como FruityArmor), embora, em outubro de 2025, nenhuma sobreposição direta entre os dois clusters tenha sido detectada.
“Desde o aparecimento inicial das amostras em julho de 2024, esta atividade destaca como explorações sofisticadas podem permanecer em repositórios públicos por um longo período antes de serem totalmente compreendidas”, disse a Unidade 42.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #falha #zeroclick #da #samsung #explorada #para #implantar #spyware #landfall #android #via #whatsapp
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário