- Vulnerabilitate zero day critica in biblioteca de imagini a telefoanelor Samsung, cu impact direct asupra ecosistemului Samsung.
- Imagini DNG modificate ajung la victime prin WhatsApp, declansand infectia direct in conversatiile WhatsApp.
- Spyware ul LandFall poate monitoriza activitatea completa de pe un telefon Samsung conectat permanent la WhatsApp.
- Modele emblematice si utilizatori WhatsApp din Orientul Mijlociu se afla in centrul campaniei, unde WhatsApp este platforma dominanta de comunicare.
O vulnerabilitate zero day in biblioteca de procesare a imaginilor Android folosita de Samsung, catalogata ca CVE 2025 21042, permite unui atacator la distanta sa ruleze cod arbitrar pe un dispozitiv compromis. Bresa se afla in componenta libimagecodec.quram.so si a primit calificativ de severitate critic, ceea ce inseamna ca un utilizator de telefon Samsung se poate trezi cu spyware instalat fara nici o interactiune evidenta.
Desi problema a fost remediata in aprilie, cercetarile arata ca operatiunea LandFall era activa cel putin din iulie 2024 si viza anumiti utilizatori Samsung Galaxy din Orientul Mijlociu.
Unitatea 42 a Palo Alto Networks considera LandFall un posibil framework comercial de supraveghere, creat pentru intruziuni foarte tintite. Pentru ecosistemul Samsung, episodul arata ca vulnerabilitatile din lantul de procesare a imaginilor pot deveni arme puternice atunci cand sunt combinate cu canale de comunicare populare precum WhatsApp.
Cum este folosit WhatsApp pentru a livra imaginile infectate
Lantul de atac incepe cu trimiterea unei imagini brute de tip DNG, special modificate, prin WhatsApp. Fisierul aparent normal contine la final o arhiva ZIP care exploateaza vulnerabilitatea din libraria grafica a dispozitivelor Samsung. Cercetatorii Unitatii 42 au analizat mostre incarcate pe platforma VirusTotal incepand cu 23 iulie 2024, iar numele fisierelor indica in mod clar folosirea aplicatiei WhatsApp ca vector de livrare.
Pentru un utilizator Samsung care comunica zilnic prin WhatsApp, simpla primire a unei imagini de la un contact poate deveni punctul de pornire al unei compromiteri complexe. Mesageria instant, dominata in multe piete de WhatsApp, este transformata astfel intr un canal strategic pentru operatorii LandFall, care mizeaza pe increderea ridicata in fisierele schimbate intre familii, prieteni sau colaboratori.
Ce face LandFall pe un telefon Samsung compromis
Din punct de vedere tehnic, imaginile DNG includ un modul de tip incarcator, capabil sa descarce si sa lanseze componente suplimentare, si un modul care modifica politicile SELinux pentru a relaxa setarile de securitate. Odata ce LandFall ajunge pe un telefon Samsung, acesta poate identifica dispozitivul dupa hardware si datele SIM, precum IMEI, IMSI, numarul cartelei si contul de utilizator, alaturi de informatii despre Bluetooth, servicii de localizare si lista de aplicatii instalate.
Setul de functii de spionaj este extins: inregistrarea microfonului, inregistrarea apelurilor, urmarirea locatiei, acces la fotografii, contacte, SMS uri, jurnale de apeluri, fisiere si istoric de navigare. In practica, un telefon Samsung infectat prin WhatsApp poate deveni o sursa continua de date pentru operatorul LandFall, care obtine o imagine detaliata a vietii digitale si fizice a victimei.
Modelele tinta si aria geografica a campaniei
Potrivit analizei Unitatii 42, spyware ul vizeaza in special dispozitive Samsung din seriile Galaxy S22, S23 si S24, precum si modelele pliabile Z Fold 4 si Z Flip 4. Cele mai noi dispozitive din seria S25 par sa nu fie incluse in aceasta campanie. Probe colectate din mostrele trimise spre VirusTotal indica potentiale tinte in Irak, Iran, Turcia si Maroc, regiuni in care telefoanele Samsung si platforma WhatsApp sunt folosite pe scara larga.
In aceste tari, combinatia dintre popularitatea dispozitivelor Samsung si rolul WhatsApp ca aplicatie dominanta de comunicare transforma utilizatorii in tinte ideale. LandFall valorifica tocmai increderea in aceste produse: utilizatorii isi actualizeaza rar sistemul de operare, dar trimit si primesc zilnic imagini prin WhatsApp, fara sa banuiasca riscul ascuns in spatele unui simplu fisier.
Cazul LandFall arata cat de vulnerabile pot fi chiar si ecosistemele consolidate, atunci cand o vulnerabilitate critica este exploatata printr un canal banal precum WhatsApp. Faptul ca atacul a functionat timp de luni de zile, pana cand Samsung a livrat patch uri si cercetatorii au documentat lantul de exploatare, arata ca raspunsul defensiv trebuie sa fie mult mai rapid.
