Эксперты по кибербезопасности предупреждают, что несколько серий устройств Samsung Galaxy оказались уязвимыми для критической ошибки, которая позволяла злоумышленникам удаленно выполнять вредоносный код.
Ситуация усугубляется тем фактом, что исследователи зафиксировали использование этой уязвимости в качестве нулевого дня для целевых атак на отдельных лиц на Ближнем Востоке с использованием шпионского ПО и инфостиллеров.
Ошибка, известная как CVE-2025-21042, имеет уровень опасности 9,8 из 10 (критический) и описывается как out-of-bounds write в библиотеке libimagecodec.quram.so, в версиях к SMR Apr-2025 Release 1. Файл libimagecodec.quram.so является частью фреймворка обработки изображений в устройствах Samsung на базе Android.
По данным специалистов из Unit 42 компании Palo Alto Networks, эта уязвимость была использована для распространения шпионской программы под названием LandFall.
Атака осуществлялась путем отправки измененного файла в формате .DNG (формат изображения Apple iOS), к которому был добавлен архив .ZIP в конце файла. Основным каналом распространения, по оценкам исследователей, был мессенджер WhatsApp, через который пользователям присылали вредоносный файл.
После загрузки и выполнения LandFall собирает отпечаток устройства, анализирует установленные приложения и начинает отслеживание.
Основные возможности шпионского ПО включают:
-
запись звука через микрофон;
-
запись телефонных разговоров;
-
отслеживание местоположения;
-
доступ к контактам, SMS, журналам звонков, файлам и фотографиям;
-
получение истории браузера.
Программа также имеет развитые механизмы сокрытия своего присутствия и сохранения контроля над зараженным устройством.
Уязвимые модели включают серии Galaxy S22, S23, S24, а также Z Fold 4 и Z Flip 4. новейшие флагманские устройства Samsung, по имеющейся информации, не подвергаются этой атаке.
Затронутые пользователи в основном находятся в Ираке, Иране, Турции и Марокко, в то время как за кибератакой, вероятно, стоит группировка Stealth Falcon, базирующаяся в Объединенных Арабских Эмиратах (ОАЭ).
Аналитики пришли к такому выводу, изучив инфраструктуру управления (C2) шпионского ПО LandFall.
Palo Alto Networks призывает владельцев устройств Samsung регулярно обновлять операционную систему и опасаться входящих сообщений, особенно тех, которые содержат вложения любого типа.
