Дослідники Palo Alto Networks виявили нову шпигунську платформу LandFall, яка щонайменше з липня 2024 року використовувала 0‑day уразливість у смартфонах Samsung Galaxy. Зловмисникам вдавалося доставляти шкідливий код через DNG‑зображення у WhatsApp без будь-яких дій з боку жертви (0‑click). Виробник закрив дефект лише в квітні 2025 року, що забезпечило нападникам близько дев’яти місяців активної експлуатації.
Експлойт у libimagecodec.quram.so: деталі CVE‑2025‑21042
Ключовою ланкою ланцюжка стала уразливість CVE‑2025‑21042 з оцінкою CVSS 8.8 у бібліотеці обробки зображень libimagecodec.quram.so. Помилка типу out‑of‑bounds write дозволяла записати дані за межами виділеної пам’яті, що відкриває шлях до віддаленого виконання коду під час парсингу зображення. За повідомленням дослідників, виправлення Samsung стало доступним у квітні 2025 року, коли кампанія вже тривала кілька циклів оновлень.
Ланцюжок проникнення через WhatsApp і формат DNG
Початкове проникнення відбувалося через надсилання DNG‑файла у WhatsApp. Усередині DNG містився вбудований ZIP з компонентами корисного навантаження. Щойно система починала автоматично обробляти прев’ю, спрацьовував експлойт, і код виконували на пристрої без підтверджень користувача. Такий підхід небезпечний через довіру до медіафайлів у месенджерах і широке використання автоматичної обробки контенту.
Чому DNG і медіакодеки — пріоритетна мішень
DNG — «сирий» формат із багатими метаданими та численними підтипами. Складні парсери та мінливі специфікації збільшують площу атаки. За спостереженнями дослідників, це не поодинокий випадок: раніше 0‑click ланцюжки на основі помилок у медіакодеках застосовувалися проти iOS (CVE‑2025‑43300) і навіть самого WhatsApp (CVE‑2025‑55177). Тренд очевидний: вади у медіастеках лишаються тихим і ефективним вектором проникнення.
Кого вразили: географія, моделі, інфраструктура
Зразки, пов’язані з LandFall, почали фіксувати на VirusTotal з 23 липня 2024 року; скрізь простежувався канал доставки через WhatsApp. За телеметрією сервісів, цілями були користувачі в Іраку, Ірані, Туреччині та Марокко. Під удар потрапили Galaxy S22, S23, S24 і складні моделі Z Fold 4, Z Flip 4; лінійка S25 не постраждала. Виявлено шість C2‑серверів, частину з яких раніше турецький CERT маркував як шкідливі.
Архітектура LandFall і можливості після зараження
Платформа складається з двох ключових модулів. Компонент b.so виступає завантажувачем і довантажує додаткові плагіни для розширення функцій. Модуль l.so змінює політики SELinux, полегшуючи підвищення привілеїв і закріплення в системі. Після компрометації збирається детальний «профіль» пристрою: IMEI, IMSI, номер SIM, дані облікового запису, параметри Bluetooth, геолокація, список застосунків, а також активуються приховані функції спостереження та контролю.
Атрибуція: ознаки комерційної шпигунської екосистеми
Дослідники характеризують LandFall як комерційний фреймворк для таргетованої розвідки. Пряма атрибуція відсутня, однак інфраструктура керування нагадує ту, що пов’язують із групою Stealth Falcon (ОАЕ). Додатково назва завантажувального компонента (Bridge Head) резонує зі схемами найменувань, властивими розробникам класу NSO Group, Variston, Cytrox, Quadream. Це не доказ, але показник професійної інженерії та комерційного походження інструментарію.
Рекомендації з кіберзахисту для користувачів і організацій
Оновлення безпеки: негайно встановіть квітневі (і новіші) патчі Samsung, що закривають CVE‑2025‑21042. Прискорений цикл оновлень зменшує вікно для 0‑day.
Контроль медіа: вимкніть автозавантаження та автозбереження медіа у WhatsApp і інших месенджерах, щоб мінімізувати 0‑click ризики.
Моніторинг і детекція: відстежуйте зміну політик SELinux, нетипові з’єднання до нових доменів/C2, контролюйте хеш‑суми бібліотек (зокрема libimagecodec.quram.so).
MDM/EDR для Android: застосовуйте принцип мінімально необхідних привілеїв, блокуйте встановлення сторонніх модулів, використовуйте правила на рівні застосунків.
Перевірка IoC: звіряйтеся з індикаторами компрометації, оприлюдненими дослідниками, і проводьте ретроспективний аналіз логів, починаючи з липня 2024 року.
Кампанія LandFall підтверджує: медіакодеки залишаються однією з найуразливіших ланок мобільної екосистеми. Регулярні оновлення, зменшення довіри до вхідних вкладень і розширена телеметрія на пристроях істотно підвищують шанс раннього виявлення аномалій і зриву ланцюжка атаки. Варто діяти превентивно: встановити патчі, переглянути політики обробки медіа та налаштувати постійний моніторинг — це мінімум, що знижує ризик тривалої прихованої стеження.
