网络安全公司 Unit 42 发现三星 Galaxy 设备遭到间谍软件攻击,该攻击利用零日漏洞通过 WhatsApp 发送的图片入侵手机。.
安全研究人员警告称,该行动自 2024 年年中以来一直处于活跃状态,它帮助攻击者部署高级 Android 恶意软件,该恶意软件能够在无需用户交互的情况下对设备进行全面监控。.
网络安全研究人员将此次行动命名为 LANDFALL,该行动是在 2025 年中期开始对 iOS 漏洞利用样本进行调查后,于 9 月份被发现的。.
LANDFALL恶意软件攻击安卓三星设备
根据 Unit 42发布的,Android 特有的恶意软件存在于隐藏在 Digital Negative (DNG) 图像文件中的 iOS 样本中。
一些三星 Galaxy 手机用户报告称,他们看到了类似“IMG-20240723-WA0000.jpg”这样的 WhatsApp 风格名称,这些名称在 2024 年 7 月至 2025 年初期间从摩洛哥、伊朗、伊拉克和土耳其等地上传到 VirusTotal。.
LANDFALL 利用了一种名为“CVE-2025-21042”的漏洞,该漏洞存在于三星的图像处理库libimagecodec.quram.so。CVE-2025-12725 也是 WebGPU 中的一个越界写入错误,WebGPU 是谷歌 Chrome 浏览器的图形处理组件。
该漏洞在2025年4月被修复,此前已有报告称该漏洞已被积极利用。但在此之前,该漏洞已导致多个设备上的DNG文件格式错误,其中包含附加的ZIP压缩包。Unit 42解释说,该漏洞诱使易受攻击的库提取trac执行共享对象(.so)库,从而在设备上安装间谍软件。
Unit 42 的报告指出,这款间谍软件会激活麦克风进行录音,通过 GPS trac用户,并悄悄窃取照片、联系人、通话记录和短信等信息。受影响的三星 Galaxy 机型包括 S22、S23、S24 和 Z 系列,特别是搭载 Android 13、14 和 15 系统的机型。.
这个零日漏洞还会影响苹果 iOS,WhatsApp 开发人员发现攻击者将苹果漏洞与该漏洞结合起来,强制设备处理来自恶意 URL 的内容。
LANDFALL 的第二部分,名为 b.so,使用 HTTPS 通过一个非标准的临时 TCP 端口连接到其命令与控制 (C2) 服务器。该恶意软件可以发送 ping 信号来检查服务器是否正常运行,然后再开始加密通信。报告的技术附录中对此进行了详细说明。.
HTTPS 连接激活后,b.so 会发送一个 POST 请求,其中包含有关受感染设备和间谍软件实例的详细信息,包括代理 ID、设备路径和用户 ID。.
9月份,WhatsApp向三星报告了一个相关漏洞(CVE-2025-21043)。这家即时通讯公司提醒用户,恶意信息可能会利用操作系统中的缺陷来入侵设备并窃取其中的数据。
Meta 在一份安全更新中表示:“我们的调查显示,您可能通过 WhatsApp 收到了一条恶意信息,并且该信息可能与您设备操作系统中的其他漏洞结合使用了。” “虽然我们不能确定您的设备是否已被入侵,但出于谨慎起见,我们还是想通知您。”
上周,《半岛报》报道称,此次攻击活动可能 trac中东地区移动设备上与国家有关的间谍软件。NSO集团的Pegasus、Cytox/Intellexa的Predator以及Gamma公司的FinFisher FinSpy长期以来都与类似的攻击有关。.
谷歌发布更新以应对零日安全漏洞
根据谷歌此前的一份报告,在2014年至2023年间,这些攻击者造成了其产品中近一半的零日漏洞。上个月,美国联邦法院禁止以色列NSO集团对WhatsApp进行逆向工程,以传播间谍软件。.
美国地区法官菲利斯·汉密尔顿在裁决中表示:“WhatsApp 等公司‘出售’的部分内容是信息隐私,任何未经授权的访问都是对这种出售的干扰。”.
上周,科技巨头谷歌发布了Chrome浏览器142版本,以修复五个关键安全漏洞,其中三个漏洞被评为“高风险”级别。此次更新通过Google Play商店发布的补丁程序,在桌面平台和安卓设备上均可使用。.
CVE-2025-12727 影响 Chrome 的 JavaScript 引擎 V8,该引擎负责性能执行;而 CVE-2025-12726 影响浏览器的用户界面管理器 Chrome Views。.
网络安全专家现在要求三星 Galaxy 用户立即应用 2025 年 4 月的安全更新来修补 CVE-2025-21042。.
