WhatsApp Logo

WhatsApp

Czesc, potrzebujesz pomocy? Podaj swoje dane.

Atak oprogramowania szpiegującego LANDFALL na urządzenia Samsunga

Atak oprogramowania szpiegującego LANDFALL na urządzenia Samsunga
11 listopada 2025
By Einnovention Team


Zespół Unit 42 odkrył próbki nieznanego dotąd rodzaju oprogramowania szpiegującego i nazwał je LANDFALL. Próbki te znajdowały się w nieprawidłowo sformowanych plikach graficznych DNG (Digital Negative) z dołączonym archiwum ZIP. Ładunek (oprogramowanie szpiegujące) był wyodrębniany i uruchamiany w momencie, gdy podatna na atak biblioteka obrazów firmy Samsung analizowała dany obraz.  

Na podstawie metadanych zgłoszeń i adresów IP wydaje się, że kampania ta nie ma charakteru masowego rozprzestrzeniania złośliwego oprogramowania, a raczej jest ukierunkowana na konkretne cele. Ofiary wydają się być skoncentrowane w niektórych regionach Bliskiego Wschodu (Maroko, Iran, Irak, Turcja itp.).  

 Luka w zabezpieczeniach (podstawa techniczna)  

Problemy z zapisem poza granicami pamięci w bibliotece przetwarzania obrazów Samsunga libimagecodec.quram.so prowadzą do zdalnego wykonania dowolnego kodu. Luka ta otrzymała wysoką ocenę ważności i numer CVE-2025-21042 (CVSS 8,8). Ta luka oznacza, że nieprawidłowo sformowany obraz może zostać wykorzystany do zmuszenia urządzenia do wykonania dowolnego kodu.  

W obrazie DNG osadzono archiwum ZIP, a gdy podatny na atak parser nieprawidłowo przetworzył obraz, wyodrębnił i wykonał kod z plików biblioteki współdzielonej (.so) zawartych w archiwum. W ten sposób został uruchomiony i wykonany kod LANDFALL.  

 Sposób dostarczenia — dlaczego było to niebezpieczne  

Złośliwe pliki DNG były prawdopodobnie wysyłane za pośrednictwem aplikacji WhatsApp (zespół Unit 42 wskazał, że schemat ataku przypominał wcześniejsze exploity obrazkowe typu zero-click). Luka w parsowaniu obrazów oznaczała, że exploit działał w trybie zero-click (ofiara nie musiała wchodzić w interakcję z obrazem), jeśli komunikator lub telefon automatycznie przetwarzał obraz lub generował jego miniaturę.

To sprawia, że jest on trudny do wykrycia i niezwykle skuteczny.  

 Co potrafi LANDFALL (możliwości)  

Raporty Unit 42 i inne źródła wskazują, że LANDFALL zapewniał kompleksowe możliwości inwigilacji podobne do komercyjnego oprogramowania szpiegowskiego:  

Dostęp do zdjęć, plików, kontaktów i rejestrów połączeń.  

Nagrywanie dźwięku z mikrofonu.  

Przekazywanie dokładnej lokalizacji (GPS).  

Przesyłanie danych z powrotem do serwerów dowodzenia i kontroli, nad którymi panuje atakujący.

Opisane tutaj mechanizmy inwigilacji wskazują na tzw. możliwości LANDFALL „klasy komercyjnej”.  

Urządzenia, których to dotyczy  

Z danych telemetrycznych Unit 42 wynika, że problem dotyczy wielu modeli telefonów Samsung Galaxy. W raportach wskazano konkretnie serie Galaxy S22, S23 i S24, a także modele Z Fold 4 i Z Flip 4 jako niektóre z modeli z serii Fold i Flip. Luka w zabezpieczeniach dotyczyła wielu wersji biblioteki przetwarzania obrazu firmy Samsung i pozostawała nieusunięta do momentu wydania przez firmę Samsung poprawki.  

 Kalendarium działań i usunięcie luk  

W raporcie zespołu Unit 42 stwierdzono, że analiza aktywności LANDFALL rozpoczęła się w połowie 2024 r., a próbki zostały zebrane w 2024 r. i na początku 2025 r., a następnie przesłane do serwisu VirusTotal.  

W 2025 r. firma Samsung wydała poprawkę dla luki CVE-2025-21042. Jak zauważył zespół Unit 42, luka została rzeczywiście załatana przez firmę Samsung w kwietniu 2025 r. CVE-2025-21043, kolejna powiązana luka w tej samej bibliotece, została załatana później. Żadne urządzenia zaktualizowane po wprowadzeniu tych poprawek nie powinny być podatne na ten konkretny exploit.  

 Źródło  

Określenie LANDFALL przez Unit 42 jako „klasy komercyjnej” sugeruje, że jest to prawdopodobnie złośliwe oprogramowanie wyprodukowane i/lub sprzedawane przez dostawcę rozwiązań do inwigilacji, a nie przez cyberprzestępcę niskiego szczebla. Jednak nie podano publicznie nazwy ani nie wskazano firmy ani państwa zaangażowanego w ataki. Badacze często wstrzymują się z przypisaniem odpowiedzialności, chyba że dysponują solidnymi dowodami.

 Możliwe wskaźniki naruszenia bezpieczeństwa (IoC) i istotne dowody

Podczas analizy kryminalistycznej urządzeń można natrafić na nieprawidłowo sformowane pliki obrazów DNG, do których dołączono sekcje ZIP. 

Mogą również występować wychodzące połączenia z podejrzanymi adresami IP lub domenami służącymi do sterowania i kontroli, wymienionymi w załączniku Unit 42. 

Mogą również występować nieoczekiwane zapisy dotyczące użycia mikrofonu, nowe pliki binarne lub biblioteki współdzielone w pamięci aplikacji, a także rozbieżności w aplikacjach dotyczące nietypowego zużycia baterii lub danych. 

Dokładne adresy IP, skróty i nazwy plików można znaleźć w załączniku technicznym Unit 42. Informacje te zawierają również reguły YARA zawarte w raporcie. 

 Zapobieganie i wykrywanie (praktyczne kroki) 

Aby ograniczyć ryzyko, każdy będzie musiał podjąć pewne kroki (użytkownicy telefonów/zwykli użytkownicy): 

Zaktualizuj swój telefon. Zainstaluj aktualizacje zabezpieczeń Samsunga/Androida, które eliminują lukę wykorzystywaną przez LANDFALL (stan na kwiecień 2025 r.). Wykonując tę aktualizację, usuniesz tę konkretną lukę. 

Należy powstrzymać się od otwierania obrazów od nieznanych nadawców. Nawet jeśli może to być atak typu „zero-click”, nie należy zapisywać ani przeglądać niezaufanych obrazów oraz należy usuwać wszelkie podejrzane pliki. 

Korzystaj z oficjalnych sklepów z aplikacjami i upewnij się, że aplikacje (w tym komunikatory) są regularnie aktualizowane.

Jeśli podejrzewasz, że Twoje urządzenie mogło zostać zainfekowane (nietypowe zachowanie, szybkie wyczerpywanie się baterii lub niewyjaśnione nadmierne koszty transmisji danych), przywróć ustawienia fabryczne po utworzeniu kopii zapasowej najważniejszych plików i zmień wszystkie ważne hasła na innym urządzeniu. Jeśli uważasz, że możesz być celem o wysokim ryzyku, powinieneś zwrócić się o profesjonalną pomoc.  

Dla organizacji / zespołów ds. bezpieczeństwa:  

Jak najszybciej oceń i zainstaluj poprawki bezpieczeństwa firmy Samsung oraz sprawdź status poprawek na wszystkich zarządzanych urządzeniach.  

Wprowadźcie system wykrywania zagrożeń na urządzeniach mobilnych/EDR i poszukajcie artefaktów plików oraz anomalii w zachowaniu opisanych w raporcie Unit 42.  

Sprawdź dane telemetryczne pod kątem domen/adresów IP wskazujących na wskaźniki naruszenia (IoC) i zastosuj odpowiednie blokady.  

W przypadku zaobserwowania podejrzanej aktywności należy udostępnić wskaźniki IoC zespołom reagowania na incydenty oraz krajowym zespołom CSIRT.  

Jak poważna jest ta sytuacja? (ocena ryzyka)  

Z technicznego punktu widzenia sytuacja jest poważna: połączenie luki typu zero-day, ataku typu zero-click oraz pełnej inwigilacji ma poważne konsekwencje dla osób, które stały się celem ataku.  

W praktyce zagrożenie jest ograniczone: wynika to z faktu, że exploit był wykorzystywany w ukierunkowanych kampaniach, a nie w ramach szeroko zakrojonej akcji szpiegowskiej. Biorąc pod uwagę, że poprawki dla tej luki zostały wydane w kwietniu 2025 r., bezpośrednie ryzyko dla użytkowników posiadających zaktualizowane urządzenia jest niskie. Jednak urządzenia, które nie zostały zaktualizowane lub są starszego typu, pozostaną narażone na ryzyko.  



CyberSecurity Spyware TechAlert
Ready to scale?

Bring Your Vision to Life with Our Experts