Компания Unit 42, специализирующаяся на кибербезопасности, обнаружила шпионскую кампанию на устройствах Samsung Galaxy, использующую уязвимость нулевого дня для проникновения в телефоны через изображения, отправленные через WhatsApp.
Исследователи в области безопасности предупреждают, что эта операция ведется с середины 2024 года и помогает злоумышленникам развертывать сложные вредоносные программы для Android, способные осуществлять полную слежку за устройством без участия пользователя.
Операция получила название LANDFALL от исследователей кибербезопасности и была обнаружена в сентябре после расследования, начавшегося с изучения образцов эксплойтов iOS в середине 2025 года.
Вредоносная программа LANDFALL поражает устройства Samsung на базе Android
Согласно отчету следственной группы Unit 42, опубликованному 7 ноября, вредоносное ПО, специфичное для Android, присутствовало в образцах iOS, скрытых в файлах цифровых негативов (DNG).
Некоторые владельцы телефонов Samsung Galaxy сообщили о появлении файлов с именами, похожими на те, что используются в WhatsApp, например, «IMG-20240723-WA0000.jpg», которые были загружены на VirusTotal из таких стран, как Марокко, Иран, Ирак и Турция, в период с июля 2024 года по начало 2025 года.
LANDFALL использует уязвимость типа «CVE-2025-21042», обнаруженную в библиотеке обработки изображений Samsung libimagecodec.quram.so . CVE-2025-12725 также представляет собой ошибку записи за пределы допустимого диапазона в WebGPU, компоненте обработки графики браузера Chrome, разработанного Google.
Уязвимость была устранена в апреле 2025 года после сообщений об активной эксплуатации, но до этого она успела исказить DNG-файлы, содержащие добавленный ZIP-архив, на нескольких устройствах. Unit 42 объяснил, что обманом заставляет уязвимую библиотеку извлекать trac выполнять разделяемые объектные (.so) библиотеки, которые и установили шпионское ПО на устройства.
В отчете подразделения Unit 42 говорится, что шпионское ПО активирует микрофоны для записи, tracпользователей по GPS и незаметно крадет информацию, такую как фотографии, контакты, журналы звонков и сообщения. К числу затронутых моделей Samsung Galaxy относятся серии S22, S23, S24 и Z, в частности, те, которые работают под управлением Android версий 13, 14 и 15.
Уязвимость нулевого дня также влияет на обработку изображений DNG на устройствах Apple iOS , где разработчики WhatsApp обнаружили, что злоумышленники объединяют уязвимость Apple с этой уязвимостью, чтобы заставить устройства обрабатывать контент с вредоносных URL-адресов.
Вторая часть LANDFALL, называемая b.so, подключается к своему серверу управления и контроля (C2) по протоколу HTTPS через временный нестандартный TCP-порт. Вредоносная программа может отправлять сигналы ping для проверки работоспособности сервера перед началом зашифрованного трафика. Это объясняется в техническом приложении к отчету.
После установления HTTPS-соединения b.so отправляет POST-запрос, содержащий подробную информацию об зараженном устройстве и экземпляре шпионского ПО, включая идентификатор агента, путь к устройству и идентификатор пользователя.
В сентябре WhatsApp сообщил Samsung о связанной уязвимости (CVE-2025-21043). Компания, предоставляющая услуги обмена сообщениями, предупредила пользователей, что вредоносное сообщение может использовать недостатки операционной системы для компрометации устройств и содержащихся в них данных.
«Наше расследование показывает, что вам, возможно, было отправлено вредоносное сообщение через WhatsApp, которое в сочетании с другими уязвимостями в операционной системе вашего устройства было использовано для взлома», — говорится в сообщении Meta в обновлении безопасности. «Хотя мы не можем с уверенностью утверждать, что ваше устройство было взломано, мы хотели предупредить вас об этом из соображений предосторожности»
На прошлой неделе новостное издание The Peninsula сообщило, что эту кампанию можно tracдо шпионского ПО, связанного с государственными структурами и установленного на мобильных устройствах на Ближнем Востоке. Программы Pegasus от NSO Group, Predator от Cytox/Intellexa и FinFisher FinSpy от Gamma давно ассоциируются с подобными атаками.
Google выпускает обновления для противодействия уязвимости нулевого дня
Согласно предыдущему отчету Google, эти злоумышленники были ответственны почти за половину всех уязвимостей нулевого дня в продуктах компании в период с 2014 по 2023 год. В прошлом месяце федеральный суд США запретил израильской компании NSO Group проводить обратное проектирование WhatsApp для распространения шпионского ПО.
«Часть того, что „продают“ такие компании, как WhatsApp, — это конфиденциальность информации, и любой несанкционированный доступ является вмешательством в эту продажу», — заявила судья окружного суда США Филлис Гамильтон в своем постановлении.
На прошлой неделе технологический гигант выпустил Chrome версии 142 для устранения пяти критических уязвимостей безопасности, три из которых, по его словам, имеют «высокий уровень риска». Обновление стало доступно для настольных платформ и устройств Android через патчи, запускаемые в Google Play.
Уязвимость CVE-2025-12727 затрагивает JavaScript-движок V8 в Chrome, отвечающий за производительность, а уязвимость CVE-2025-12726 влияет на менеджер пользовательского интерфейса Chrome Views.
Специалисты по кибербезопасности призывают пользователей Samsung Galaxy немедленно установить обновление безопасности от апреля 2025 года для устранения уязвимости CVE-2025-21042.
