پژوهشگران امنیتی از کشف یک آسیبپذیری روز صفر در گوشیهای گلکسی سامسونگ خبر دادهاند که برای توزیع یک بدافزار جاسوسی به نام LANDFALL در حملات هدفمند در خاورمیانه مورد بهرهبرداری قرار گرفته است.
طبق گزارش شرکت «پالوآلتو نتورک»، این حملات با بهرهگیری از حفره امنیتی CVE-2025-21042 با نمره CVSS 8.8 در کتابخانه گرافیکی «libimagecodec.quram.so» انجام شدهاند. این آسیبپذیری در آوریل ۲۰۲۵ توسط سامسونگ برطرف شده است.
اهداف این حملات عمدتا در ایران، عراق، ترکیه و مراکش شناسایی شدهاند.
بررسیها نشان میدهد مهاجمان با ارسال فایلهای تصویری DNG آلوده از طریق واتساپ، کدهای مخرب را به دستگاههای هدف منتقل کردهاند. نمونههایی از این جاسوسافزار با نامهایی نظیر «WhatsApp Image 2025-02-10» از جولای ۲۰۲۴ شناسایی شدهاند.
LANDFALL پس از نصب، به اطلاعات حساسی چون موقعیت مکانی، صدا، تصاویر، مخاطبان، پیامکها و تاریخچه تماسها دسترسی پیدا میکند. این بدافزار همچنین بهگونهای طراحی شده تا با اعمال تغییر در سیاستهای SELinux سیستمعامل، مجوزهای سطح بالا بهدست آورده و ماندگاری خود را حفظ کند.
محققان میگویند درون فایل DNG، یک آرشیو ZIP پنهان شده که شامل یک کتابخانه مشترک برای اجرای کدهای مخرب و ارتباط با سرور کنترل (C2) از طریق HTTPS است. LANDFALL یک چارچوب ماژولار است که با دریافت مولفههای بیشتر از سرور، قابلیتهای جاسوسی خود را گسترش میدهد.
هدف اصلی این بدافزار، گوشیهای سری گلکسی S22، S23، S24 و مدلهای Z Fold 4 و Z Flip 4 بودهاند.
هرچند سامسونگ در همان ماه آوریل آسیبپذیری را ترمیم کرده، اما حملات مشابهی علیه دستگاههای اندرویدی و آیفون تا سپتامبر ادامه داشته و بخشی از یک موج بزرگتر بهرهبرداری از فایلهای DNG تلقی میشود.
گزارش منتشر شده همچنین احتمال ارتباط این کارزار با گروه Stealth Falcon را مطرح میکند؛ با این حال تاکنون شواهد مستقیمی برای اثبات این نسبت وجود ندارد. برخی زیرساختهای مرتبط با LANDFALL همچنان فعالاند که میتواند نشانهای از تداوم یا ادامه عملیات مهاجمان باشد.
توضیحات بیشتر:
Samsung Mobile Flaw Exploited as Zero-Day to Deploy LANDFALL Android Spyware