Специалисты Palo Alto Networks выявили ранее неизвестную шпионскую платформу LandFall, которая как минимум с июля 2024 года применяла 0‑day уязвимость в смартфонах Samsung Galaxy. Вектором проникновения становились специально подготовленные изображения в формате DNG, доставленные через WhatsApp. Устранение критического дефекта производитель выпустил только в апреле 2025 года, что дало злоумышленникам около девяти месяцев активной эксплуатации.
Что произошло: эксплойт против libimagecodec.quram.so
Атаки нацелены на отдельные устройства линейки Samsung Galaxy в странах Ближнего Востока. Злоумышленники использовали уязвимость CVE‑2025‑21042 с оценкой CVSS 8.8 в библиотеке обработки изображений libimagecodec.quram.so. Ошибка типа out‑of‑bounds write позволяла выполнять произвольный код на устройстве при обработке вредоносного изображения. По данным исследователей, исправление от Samsung вышло в апреле 2025 года, когда кампания уже продолжалась несколько циклов обновлений.
Цепочка эксплуатации через WhatsApp и формат DNG
Начальный доступ обеспечивался отправкой в WhatsApp DNG‑файла, внутри которого был спрятан ZIP‑архив с компонентами вредоносной нагрузки. Как только система начинала парсить изображение, срабатывал эксплойт, что приводило к выполнению кода без дополнительных действий со стороны пользователя. Такой подход представляет опасность из‑за доверия к медиафайлам и автоматической обработки превью в мессенджерах.
Почему DNG стал удобной мишенью
DNG — «сырое» графическое представление с богатым набором метаданных. Исторически сложившаяся сложность парсеров и наличие экзотических подтипов формата увеличивают площадь атаки. В исследовании отмечается, что LandFall не уникален: ранее цепочки на основе уязвимостей в обработке DNG применялись против iOS (CVE‑2025‑43300) и WhatsApp (CVE‑2025‑55177), что подтверждает тренд на эксплуатацию ошибок в медиа‑кодеках как тихого, «безкликабельного» вектора проникновения.
География, цели и индикаторы компрометации
Образцы, связанные с LandFall, фиксировались на VirusTotal начиная с 23 июля 2024 года. Во всех случаях фигурировал канал доставки через WhatsApp. По телеметрии сервисов, целями были пользователи в Ираке, Иране, Турции и Марокко. Под удар попали модели Galaxy S22, S23, S24, а также складные Z Fold 4 и Z Flip 4. Новейшая на момент публикации линейка S25, по данным исследователей, не затронута. Выявлено шесть управляющих серверов (C2), часть которых ранее помечена турецким CERT как вредоносная.
Архитектура LandFall и возможности после заражения
Платформа состоит из двух ключевых модулей. b.so выполняет роль загрузчика и может подтягивать дополнительные плагины, расширяя функциональность по мере необходимости. l.so модифицирует политики SELinux, что облегчает повышение привилегий и закрепление в системе. После компрометации ПО собирает подробный «цифровой отпечаток» устройства: IMEI, IMSI, номер SIM‑карты, параметры аккаунта, информацию о Bluetooth, геолокацию и перечень установленных приложений, а также реализует дополнительные функции скрытого наблюдения и контроля.
Атрибуция: коммерческая шпионская экосистема
Исследователи квалифицируют LandFall как коммерческий фреймворк для целевой слежки. Прямая атрибуция пока не установлена, однако инфраструктура C2 напоминает ту, что приписывается группе Stealth Falcon из ОАЭ. Дополнительно название загрузочного компонента (Bridge Head) коррелирует с шаблонами именования модулей, характерными для разработчиков шпионского ПО уровня NSO Group, Variston, Cytrox, Quadream. Эти наблюдения не являются окончательным доказательством, но указывают на профессиональную разработку и коммерческое происхождение инструментария.
Рекомендации по защите и реагированию
Патчите устройства: установите апрельские (и более новые) обновления безопасности Samsung, закрывающие CVE‑2025‑21042. Ограничьте автообработку медиа: отключите автозагрузку/автосохранение в WhatsApp и других мессенджерах. Разверните мониторинг: контролируйте изменения политик SELinux, сетевую активность к неизвестным доменам/C2, проверяйте хэш‑суммы подозрительных библиотек. Используйте MDM/EDR для Android с политиками минимально необходимых привилегий и запретом установки сторонних модулей. Проверяйте IoC, опубликованные исследователями, и проводите ретроспективный анализ журналов за период с июля 2024 года.
Кампания LandFall демонстрирует, что медиа‑кодеки остаются привлекательной целью для «тихих» атак. Организациям и пользователям следует ускорять цикл обновлений, снижать доверие к входящим вложениям и усиливать телеметрию на уровне устройства. Чем быстрее закрываются 0‑day‑окна и детектируются аномалии в политике безопасности, тем ниже вероятность успешной закрепленной слежки.
