网络安全公司 Palo Alto Networks Unit 42 披露，一款名为“Landfall”的商业级安卓间谍软件利用三星手机的零点击漏洞，通过特制图片在用户不知情的情况下植入设备。该软件通过篡改的 DNG 图片文件嵌入恶意代码，利用后台图像处理组件自动解析时触发漏洞，绕过系统安全机制，获取高权限。成功植入后，Landfall 可窃取敏感信息，并远程激活麦克风和摄像头进行监视。此攻击主要针对中东地区特定用户，影响 Galaxy S22/S23/S24 系列及 Z Flip 4/Fold 4 等机型。三星已于 2025 年 4 月安全更新中修复该漏洞。

🛡️ **零点击攻击与特制图片植入**："Landfall"间谍软件利用了三星手机系统中的一个零点击漏洞，攻击者通过发送一张特制的“陷阱图片”即可在用户毫不知情且无需任何交互的情况下，悄然将恶意软件植入设备。这种攻击方式的隐蔽性极高，用户难以察觉。

🖼️ **利用 DNG 格式图片文件的攻击机制**：该间谍软件的攻击链始于经过篡改的数字图像文件，具体为基于 TIFF 格式的特制 DNG 文件。攻击者巧妙地在这些看似正常的图片文件中嵌入了包含恶意代码的 ZIP 压缩包。当三星手机的后台图像处理组件自动解析这张图片时，便会触发漏洞，自动提取并执行隐藏的恶意程序。

🔑 **绕过安全机制与高权限获取**：恶意软件一旦成功植入，其首要行动是修改设备的 SELinux 策略，这是一项安卓系统的核心安全机制。通过修改此策略，Landfall 能够绕过系统的沙盒隔离，从而获得极高的系统权限，为后续的数据窃取和监控奠定基础。

🕵️ **海量敏感信息窃取与实时监控**：凭借获取的超级权限，Landfall 的操控者可以肆无忌惮地窃取设备中的海量敏感信息，包括但不限于设备标识符、已安装应用列表、联系人、文件目录以及浏览器浏览数据。更令人担忧的是，该间谍软件还能远程激活手机的麦克风和摄像头，对用户进行实时的秘密监视。

🌍 **精准打击与受影响范围**：调查显示，此次攻击并非大规模的无差别传播，而是采取了针对特定区域的精准打击策略。受影响的设备型号主要集中在 Galaxy S22、S23、S24 系列以及 Z Flip 4 和 Z Fold 4 等折叠屏手机，感染痕迹主要出现在伊拉克、伊朗、土耳其和摩洛哥等中东国家。

IT之家 11 月 10 日消息，网络安全公司 Palo Alto Networks Unit 42 于 11 月 7 日发布博文，披露了针对三星 Galaxy 用户，名为“Landfall”的商业级安卓间谍软件。该软件利用三星手机系统中的一个零点击漏洞，通过特制的“陷阱图片”发起攻击，无需用户任何操作即可悄然植入设备。

IT之家援引博文介绍，该攻击方式极其隐蔽，用户在接收到一张特制的图片后，完全无需点击或任何其他交互，手机就会在毫不知情的情况下被感染。三星公司已在其 2025 年 4 月的安全更新中修复了此漏洞（编号 CVE-2025-21042）。

Landfall 的攻击链始于经过篡改的数字图像文件，具体来说是基于 TIFF 格式的特制 DNG 文件（一种数字原始图像格式）。攻击者在这些看似正常的图片文件中嵌入了包含恶意代码的 ZIP 压缩包。

当三星手机的后台图像处理组件自动解析这张图片时，便会触发漏洞，自动提取并执行隐藏的恶意程序。这一过程在后台静默完成，用户无法察觉任何异常。

恶意软件一旦成功植入，会立刻修改设备的 SELinux 策略（安卓系统的一项核心安全机制），从而绕过系统的沙盒隔离，获取极高的系统权限。

凭借这些权限，Landfall 的操控者可以窃取设备中的海量敏感信息，包括设备标识符、已安装应用列表、联系人、文件目录和浏览器数据。更为严重的是，该间谍软件还能远程激活手机的麦克风和摄像头，对用户进行实时监视。

根据调查，此次攻击并非大规模无差别传播，而是针对特定区域的精准打击。受影响的设备型号包括 Galaxy S22、S23、S24 系列以及 Z Flip 4 和 Z Fold 4 等折叠屏手机，感染痕迹主要集中在伊拉克、伊朗、土耳其和摩洛哥等中东国家。