Декілька серій пристроїв Samsung Galaxy виявилися вразливими до критичної помилки, що дозволяла зловмисникам віддалено виконувати шкідливий код, попереджають експерти з кібербезпеки.
Ситуація ускладнюється тим, що дослідники зафіксували використання цієї вразливості як zero-day для цільових атак на окремих осіб на Близькому Сході із застосуванням шпигунського програмного забезпечення та інфостілерів.
Помилка, відома як CVE-2025-21042, має рівень небезпеки 9,8 із 10 (критичний) і описується як out-of-bounds write у бібліотеці libimagecodec.quram.so, у версіях до SMR Apr-2025 Release 1. Файл libimagecodec.quram.so є частиною фреймворку обробки зображень у пристроях Samsung на базі Android.
За даними фахівців із Unit 42 компанії Palo Alto Networks, ця вразливість була використана для розповсюдження шпигунської програми під назвою LandFall.
Атака здійснювалася шляхом надсилання зміненого файлу у форматі .DNG (формат зображення Apple iOS), до якого було додано архів .ZIP у кінці файлу. Основним каналом поширення, за оцінками дослідників, був месенджер WhatsApp, через який користувачам надсилали шкідливий файл.
Після завантаження та виконання LandFall збирає відбиток пристрою, аналізує встановлені програми та розпочинає стеження.
Основні можливості шпигунського ПЗ включають:
-
запис звуку через мікрофон;
-
запис телефонних розмов;
-
відстеження місцезнаходження;
-
доступ до контактів, SMS, журналів дзвінків, файлів і фотографій;
-
отримання історії браузера.
Програма також має розвинені механізми приховування своєї присутності та збереження контролю над зараженим пристроєм.
До вразливих моделей належать серії Galaxy S22, S23, S24, а також Z Fold 4 і Z Flip 4. Новітні флагманські пристрої Samsung, за наявною інформацією, не піддаються цій атаці.
Постраждалі користувачі переважно перебувають у Іраку, Ірані, Туреччині та Марокко, тоді як за кібератакою, ймовірно, стоїть угруповання Stealth Falcon, що базується в Об’єднаних Арабських Еміратах (ОАЕ).
Аналітики дійшли цього висновку, вивчивши інфраструктуру керування (C2) шпигунського ПЗ LandFall.
Palo Alto Networks закликає власників пристроїв Samsung регулярно оновлювати операційну систему та з обережністю ставитися до вхідних повідомлень, особливо тих, що містять вкладення будь-якого типу.
