Új spyware kémkedett egyes Samsung Galaxy mobilokon
Közel egy éven át tartott a Landfall nevű spyware-rel kivitelezett támadási kampány, mely a Samsung egyes modelljeinek sebezhetőségét használta ki. A biztonsági szakértők egyelőre nem tudják megállapítani, melyik vendorhoz köthető a kereskedelmi kémprogram, és pontosan hány célpont lehetett érintett a javítás kiadásáig, egyelőre a közel-keleti érintettséget sikerült megállapítani.
A Samsung készülékekre telepített Android képfeldolgozásért felelős könyvtárán keresztül használtak ki támadók egy nulladik napi sebezhetőséget annak céljából, hogy az eddig nem ismert Landfall nevű spyware-t jutassák el a célpontok eszközeire. A biztonsági rést foltozó javítást idén áprilisban tette elérhetővé a gyártó, de a biztonsági szakértők által gyűjtött bizonyítékok alapján a Landfall segítségével kivitelezett művelet 2024. júliusa óta tarthatott, és Samsung Galaxy készülékek tulajdonosainak szűk körét célozta a Közel-Keleten, főként Irakban, Iránban, Törökországban és Marokkóban élő felhasználókat.
A kritikus súlyosságúnak ítélt, CVE-2025-21042 azonosítóval jelölt nulladik napi sérülékenység a libimagecodec.quram.so fájlt érintette, és lehetővé tette, hogy a támadók tetszőleges kódot futtathassanak a céleszközökön. A Unit 42 elemzése szerint a kémprogram kifejezetten a Samsung zászlósmodelljeit, a Galaxy S22, S23, S24, Z Fold 4 és Z Flip 4 készülékeket célozta meg, de arra nincs bizonyíték, hogy a legújabb S25 sorozat tagjai érintettek lettek volna. Nincs azonban kizárva annak lehetősége, hogy a sebezhetőség az Android 13, 14, 15-ös verziókat használó más Galaxy eszközöket is érinthetett.
Miért kritikus a Patch & Asset Management a kibervédelemben? (x) Az adatszivárgások jelentős része megakadályozható lenne, ha a szervezetek időben telepítenék a szoftverfrissítéseket.
A Palo Alto Networks Unit 42-es részlegének kutatói szerint a Landfall egy kereskedelmi kémprogram, melynek figyelt képességei közt szerepel a különféle modulok végrehajtása, a detektálás kivédése és a különböző védelmi mechanizmusok megkerülése. A spyware általános képességei közé tartozik a mikrofonhoz és hanghívásokhoz való hozzáférés és azok rögzítése, a lokációkövetés, továbbá az eszközön található fotókhoz, névjegyekhez, SMS-ekhez és fájlokhoz és böngészési előzményekhez is hozzáférést biztosít a támadóknak.
A VirusTotal adatbázisába feltöltött minták alapján vizsgált incidensekben a támadások közvetítőcsatornája a WhatsApp nevű alkalmazás volt, a támadók egy torzított .DNG nyílt nyers formátumú képet továbbítottak egy .ZIP fájllal együtt. A .DNG csomagok két fő komponenst tartalmaztak, egy további modulok lekéréséért felelős loadert, és egy másik komponenst, mely az eszköz biztonsági beállításait és jogosultságait volt képes manipulálni. Az úgynevezett zero-click támadás során a fertőzött eszköz tulajdonosának interakciója sem volt szükséges a kémprogram aktiválásához.
A „Bridge Head” néven ismert loadert korábban már többször kötötték az NSO Group, a Variston, a Cytrox ls a Qaudream cégek termékeihez, de a LandFallt egyelőre nem sikerült egyértelműen egyetlen ismert fenyegetési szereplőhöz, sem kémprogram-fejlesztőhöz kötni. Bár a spyware mögött feltérképezett digitális infrastruktúra sok átfedést mutat a Stealth Falcon nevű vendor termékeivel, melyeket korábban újságítók, aktivisták és disszidensek ellen kivitelezett támadásokban használtak fel, nincs elegendő bizonyíték ahhoz, hogy egy adott kormányzati ügyfélhez lehessen kötni.
A Meta és a WhatsApp biztonsági csapatai augusztusban egy másik, a DNG formátummal való visszaélésekhez köthető nulladik napi hibát is azonosítottak a Samsung készülékein, melyhez szeptemberben érkezett javítás, de ez az eset nem kapcsolható össze egyelőre a Landfall-incidenssel.