Egy nemrég felfedezett Android kémprogram, a Landfall, a Palo Alto Networks jelentése szerint egy nulladik napi sérülékenység kihasználásával települ Samsung készülékekre.
A Landfall a CVE-2025-21042 azonosítójú hibát használta ki, ami a Samsung egyik képfeldolgozó könyvtárát érinti és távoli kódfuttatást tesz lehetővé. A támadók speciálisan kialakított DNG-fájlformátumú képfájlok küldésével használták ki a sérülékenységet, amit a célpontoknak WhatsAppon keresztül küldtek el. Az eddigi adatok szerint a támadások a Samsung Galaxy S22, S23, S24, Z Fold4 és Z Flip4 modellek ellen irányultak, és nem igényeltek felhasználói interakciót.
Fontos megjegyezni, hogy a Palo Alto Networks eddig nem talált ezzel kapcsolatos sebezhetőséget a WhatsAppban, tehát a fertőzés feltehetően nem a chatalkalmazás hibájából ered, hanem a Samsung egyik komponensének sérülékenységéből.
Miután a Landfall megfertőz egy készüléket, teljes körű megfigyelést tesz lehetővé: képes mikrofonfelvételek készítésére, helyadatok követésére, valamint adatszivárogtatásra is. A támadók így hozzáférhetnek a készüléken tárolt fényképekhez, névjegyekhez és a hívásnaplókhoz is.
A CVE-2025-21042 sérülékenységet a Samsung 2025. áprilisi biztonsági frissítése során javította, azonban a vállalat biztonsági közleményében nem szerepelt információ aktív kihasználásról. A Palo Alto elemzése szerint a Landfall támadások azonban legalább 2024. júliusa óta zajlanak, így a sérülékenységet a javítás kiadása előtt már aktívan kihasználták.
A most vizsgált hiba szoros kapcsolatban áll egy másik, CVE-2025-21043 azonosítójú nulladik napi sérülékenységgel, amelyet a Samsung ugyanebben a képkezelő könyvtárban nemrég javított. Ezt a másik hibát a Meta és a WhatsApp kutatói jelentették, és szintén távoli kódfuttatást tett lehetővé.
A Palo Alto szerint a két hiba meglepő hasonlóságot mutat: mindkettő DNG-képfájlok feldolgozásához kapcsolódik és mobilkommunikációs alkalmazásokon keresztül terjesztik őket. Bár a Landfall mintákban nem azonosították a CVE-2025-21043 kihasználását, a technikai párhuzamok alapján közös eredetre gyanakodnak.
A Palo Alto által elemzett rosszindulatú DNG-fájlminták alapján a Landfall támadások elsősorban a Közel-Kelet és Észak-Afrika térségében élő célpontokat érintették, különösen Iránban, Irakban, Törökországban és Marokkóban.
