Pesquisadores de segurança descobriram uma campanha de espionagem que explorou uma vulnerabilidade zero-day em dispositivos Samsung Galaxy para instalar o spyware LANDFALL. Os ataques ocorreram principalmente no Iraque, Irã, Turquia e Marrocos, utilizando imagens no formato DNG enviadas pelo WhatsApp. A falha, identificada como CVE-2025-21042, permitia execução remota de código sem interação do usuário, e foi corrigida pela Samsung em abril de 2025.
A campanha, rastreada como CL-UNK-1054, começou em julho de 2024 e continuou por meses antes da correção. Amostras do malware foram enviadas ao VirusTotal por usuários nessas regiões, indicando alvos específicos. A Agência de Cibersegurança e Infraestrutura dos EUA incluiu a vulnerabilidade em seu catálogo de falhas exploradas em novembro de 2025, exigindo remediação em agências federais até dezembro.
Mecanismo do exploit em imagens DNG
Os arquivos maliciosos simulavam fotos comuns do WhatsApp, com nomes como “IMG-20240723-WA0000.jpg”. Esses DNG continham um ZIP embutido no final, explorando uma escrita fora dos limites na biblioteca libimagecodec.quram.so.
O processo iniciava com o processamento automático da imagem, extraindo bibliotecas compartilhadas para executar o spyware. Outra biblioteca manipulava a política SELinux, elevando privilégios e garantindo persistência no sistema.
A abordagem zero-click eliminava a necessidade de cliques, tornando o ataque indetectável na maioria dos casos. Dispositivos afetados incluíam modelos Galaxy S22, S23, S24, Z Fold4 e Z Flip4 rodando Android 13 a 16.
Capacidades do spyware LANDFALL
O LANDFALL coletava dados de forma abrangente, acessando múltiplas fontes no dispositivo comprometido. Entre as funções, destacavam-se:
- Gravação de áudio via microfone em tempo real.
- Rastreamento de localização geográfica precisa.
- Extração de fotos, contatos e histórico de chamadas.
- Leitura de SMS e arquivos armazenados.
Após instalação, o malware se conectava a um servidor de comando e controle via HTTPS. Essa conexão permitia loops de beaconing e download de payloads adicionais, expandindo suas operações.
A arquitetura modular facilitava atualizações remotas, adaptando o spyware a defesas emergentes. Pesquisadores notaram que o componente inicial se referia a si mesmo como “Bridge Head”, termo comum em ferramentas de loaders de empresas de ciberataques privados.
Padrões semelhantes a operações conhecidas
A infraestrutura de controle do LANDFALL apresentava sobreposições com o grupo Stealth Falcon, também chamado FruityArmor. Esse ator, ligado a espionagem no Oriente Médio desde 2012, usa táticas semelhantes em campanhas contra ativistas e jornalistas.
Registros de domínios e padrões de C2 coincidiam parcialmente, mas sem evidências diretas até outubro de 2025. A semelhança sugere possível uso de ferramentas comerciais por atores estatais ou privados.
A campanha evitou detecção por meses, com amostras públicas no VirusTotal desde julho de 2024. Isso expõe a dificuldade em identificar exploits em repositórios abertos.
Vulnerabilidades recorrentes em bibliotecas de imagem
Falhas em processadores de imagens DNG surgem como vetor recorrente em ataques móveis. Em setembro de 2025, a Samsung corrigiu CVE-2025-21043 na mesma biblioteca, explorada in-the-wild, mas sem ligação direta ao LANDFALL.
O WhatsApp reportou em período similar uma cadeia de vulnerabilidades em iOS e macOS, afetando menos de 200 usuários. Esses casos indicam uma onda de exploits zero-click em apps de mensagens.
A tendência reflete o foco de atacantes em bibliotecas compartilhadas, como libimagecodec.quram.so, para alcançar execução remota. Atualizações regulares mitigam riscos, mas atrasos na correção prolongam exposições.
Medidas de proteção para usuários
Proprietários de Galaxy devem verificar atualizações de segurança mensais. O patch de abril de 2025 eliminou a CVE-2025-21042, mas dispositivos desatualizados permanecem vulneráveis.
Desative downloads automáticos de mídia no WhatsApp para reduzir riscos. Ferramentas como Google Play Protect escaneiam apps e arquivos regularmente.
Empresas com frotas de dispositivos Samsung podem usar MDM para forçar patches. Monitore logs por falhas em processamento de imagens, sinalizando infecções potenciais.
A campanha destaca a importância de patches rápidos em ecossistemas Android. Com mais de 3 bilhões de usuários globais, atrasos afetam escalas massivas de exposição.
