Zespół Unit 42 odkrył próbki nieznanego dotąd typu oprogramowania szpiegującego i nazwał je LANDFALL. Próbki te znajdowały się w nieprawidłowo sformowanych plikach graficznych DNG (Digital Negative) z dołączonym archiwum ZIP. Ładunek (oprogramowanie szpiegujące) był wyodrębniany i uruchamiany w momencie, gdy podatna na atak biblioteka obrazów firmy Samsung analizowała plik graficzny.  

Na podstawie metadanych zgłoszeń i adresów IP kampania nie wydaje się być szeroko zakrojonym atakiem złośliwego oprogramowania, a raczej atakiem ukierunkowanym. Ofiary wydają się być skoncentrowane w niektórych częściach Bliskiego Wschodu (Maroko, Iran, Irak, Turcja itp.).  

 Luka (podstawowy problem techniczny)  

Problemy z zapisem poza granicami w bibliotece przetwarzania obrazów Samsunga libimagecodec.quram.so prowadzą do wykonania dowolnego kodu zdalnego. Luka ta otrzymała wysoką ocenę ważności i numer CVE-2025-21042 (CVSS 8.8). Ta luka oznacza, że nieprawidłowo sformułowany obraz może zostać wykorzystany do zmuszenia urządzenia do wykonania dowolnego kodu.  

W obrazie DNG osadzono archiwum ZIP, a gdy podatny na ataki parser nieprawidłowo przetworzył obraz, wyodrębnił i wykonał kod z plików biblioteki współdzielonej (.so) zawartych w archiwum. W ten sposób został uruchomiony i wykonany LANDFALL.  

 Metoda dostarczenia — dlaczego było to niebezpieczne  

Złośliwe pliki DNG zostały prawdopodobnie wysłane za pomocą WhatsApp (Unit 42 wskazało, że schemat ataku przypominał wcześniejsze exploity obrazów typu zero-click). Luka w parsowaniu obrazów oznaczała, że exploit był typu zero-click (ofiara nie musiała wchodzić w interakcję z obrazem), jeśli komunikator lub telefon automatycznie parsował obraz lub generował jego miniaturę.

To sprawia, że jest on ukryty i potężny.  

 Co potrafi LANDFALL (możliwości)  

Raporty Unit 42 i inne pokazują, że LANDFALL zapewniał kompleksowe możliwości nadzoru podobne do komercyjnego oprogramowania szpiegującego:  

Dostęp do zdjęć, plików, kontaktów, rejestrów połączeń.  

Nagrywanie dźwięku z mikrofonu.  

Zgłaszanie dokładnej lokalizacji (GPS).  

Przesyłanie danych z powrotem do serwerów dowodzenia i kontroli kontrolowanych przez atakującego.

Opisane tutaj struktury inwigilacyjne wskazują na tak zwane możliwości LANDFALL „klasy komercyjnej”.  

Urządzenia, których to dotyczy  

Z danych telemetrycznych Unit 42 wynika, że problem dotyczy wielu modeli telefonów Samsung Galaxy. Raporty wskazują konkretnie na serie Galaxy S22, S23, S24, a także Z Fold 4 i Z Flip 4 jako niektóre z modeli Fold i Flip. Luka w zabezpieczeniach dotyczyła wielu wersji biblioteki przetwarzania obrazu firmy Samsung i pozostawała nieusunięta do momentu wydania przez Samsunga poprawki.  

 Kalendarium działań i usunięcie luk  

W raporcie Unit 42 stwierdzono, że analiza aktywności LANDFALL rozpoczęła się w połowie 2024 r., a próbki zostały zebrane w 2024 r. i na początku 2025 r. oraz przesłane do serwisu VirusTotal.  

W 2025 r. firma Samsung wydała poprawkę dla CVE-2025-21042. Jak zauważył zespół Unit 42, luka została rzeczywiście załatana przez firmę Samsung w kwietniu 2025 r. CVE-2025-21043, kolejna powiązana luka w tej samej bibliotece, została załatana później. Żadne urządzenia zaktualizowane po tych poprawkach nie powinny być podatne na ten konkretny exploit.  

 Przypisanie  

Określenie LANDFALL jako „klasy komercyjnej” przez Unit 42 sugeruje, że jest to prawdopodobnie złośliwe oprogramowanie wyprodukowane i/lub sprzedawane przez dostawcę rozwiązań do nadzoru, a nie przez cyberprzestępcę niskiego szczebla. Jednak nie podano publicznie nazwy ani nie wskazano firmy lub państwa zaangażowanego w ataki. Badacze często unikają przypisywania odpowiedzialności, chyba że posiadają solidne dowody.

 Możliwe wskaźniki naruszenia bezpieczeństwa (IoC) i istotne dowody

Podczas analizy kryminalistycznej urządzeń można natrafić na nieprawidłowo sformowane pliki obrazów DNG, do których dołączono sekcje ZIP. 

Mogą również występować wychodzące połączenia z podejrzanymi adresami IP lub domenami typu command-and-control, opisanymi w załączniku Unit 42. 

Mogą również występować nieoczekiwane zapisy dotyczące użycia mikrofonu, nowe pliki binarne lub biblioteki współdzielone w pamięci aplikacji oraz rozbieżności w aplikacjach dotyczące nietypowego zużycia baterii lub danych. 

Dokładne adresy IP, skróty i nazwy plików można znaleźć w załączniku technicznym Unit 42. Informacje te zawierają również reguły YARA w raporcie. 

 Odstraszanie i wykrywanie (praktyczne kroki) 

Aby ograniczyć ryzyko, każdy musi podjąć pewne kroki (telefony/zwykli użytkownicy): 

Zaktualizuj swój telefon. Zainstaluj aktualizacje zabezpieczeń Samsunga/Androida, które eliminują lukę wykorzystywaną przez LANDFALL (stan na kwiecień 2025 r.). Dzięki tej aktualizacji usuniesz tę konkretną lukę. 

Powstrzymaj się od otwierania obrazów od nieznanych nadawców. Nawet jeśli może to być atak typu zero-click, nie zapisuj ani nie przeglądaj niezaufanych obrazów i usuwaj wszelkie podejrzane pliki. 

Korzystaj z oficjalnych sklepów z aplikacjami i upewnij się, że aplikacje (w tym komunikatory) są regularnie aktualizowane.

Jeśli uważasz, że Twoje urządzenie może być zagrożone (niezwykłe zachowanie, szybkie wyczerpywanie się baterii lub niewyjaśnione nadmierne koszty transmisji danych), przywróć ustawienia fabryczne po utworzeniu kopii zapasowej najważniejszych plików i zmień wszystkie ważne hasła na innym urządzeniu. Jeśli uważasz, że możesz być celem wysokiego ryzyka, powinieneś skorzystać z profesjonalnej pomocy.  

Dla organizacji / zespołów ds. bezpieczeństwa:  

Jak najszybciej oceń i zastosuj poprawki bezpieczeństwa Samsunga oraz sprawdź status poprawek na wszystkich zarządzanych urządzeniach.  

Wprowadź system wykrywania zagrożeń na urządzeniach mobilnych/EDR i poszukaj artefaktów plików oraz anomalii w zachowaniu opisanych w raporcie Unit 42.  

Sprawdź dane telemetryczne pod kątem domen/adresów IP wskazujących na zagrożenie (IoC) i zastosuj odpowiednie blokady.  

W przypadku zaobserwowania podejrzanej aktywności należy udostępnić wskaźniki IoC zespołom reagowania na incydenty oraz krajowym zespołom CSIRT.  

Jak poważna jest ta sytuacja? (ocena ryzyka)  

Z technicznego punktu widzenia jest to poważna sprawa: połączenie luki typu zero-day, ataku typu zero-click i pełnego nadzoru ma duży wpływ na osoby, które są celem ataku.  

W praktyce jest to ograniczone: wynika to z faktu, że wykorzystano to w ukierunkowanych kampaniach, a nie w szeroko zakrojonej akcji szpiegowskiej. Biorąc pod uwagę, że poprawki dla tej luki zostały wydane w kwietniu 2025 r., bezpośrednie ryzyko dla użytkowników z zaktualizowanymi urządzeniami jest niskie. Jednak urządzenia, które nie zostały załatane lub są starsze, pozostaną narażone na ryzyko.