看雪学苑 2025-11-10 18:01 上海
三星零日漏洞致恶意图片可零点击安装间谍软件,中东用户疑遭监控。
近日,Palo Alto Networks旗下Unit 42威胁情报团队披露了一个名为LANDFALL的新型安卓间谍软件家族。该软件利用三星图像处理库中的一个零日漏洞(CVE-2025-21042),通过恶意DNG图像文件对三星Galaxy系列设备发起攻击,自2024年中以来持续活跃,主要目标疑似集中在中东地区。
攻击的核心在于利用了三星设备内置图像解码库`libimagecodec.quram.so`中的一个漏洞。攻击者将包含间谍软件载荷的ZIP压缩包嵌入到特制的DNG(数字负片,一种源自TIFF的原始图像格式)文件末尾。当用户通过WhatsApp等途径接收到此类文件,甚至在特定条件下仅是预览图片,漏洞便会静默触发。该漏洞允许从图片内嵌的ZIP包中提取共享对象(.so)二进制文件并在设备上执行,整个过程无需用户任何交互,实现了“零点击”感染,其技术水准可与Pegasus(飞马)、Predator等知名商业间谍软件相提并论。
LANDFALL被描述为一种“商业级”间谍软件,专门针对三星Galaxy S22、S23、S24、Z Fold4和Z Flip4等机型进行工程化。一旦植入,攻击者便能获得对设备的广泛控制和深度窥视能力。
其主要功能包括:
全面监控:录制通话和环境音频,窃取联系人、短信、照片、应用数据。
持续追踪:追踪地理位置,监控已安装应用列表。
反分析对抗:能够检测Frida、Xposed等调试框架以规避分析。
持久化驻留:通过操纵文件系统和应用目录(特别是针对WhatsApp媒体文件夹)来确保持久存在。
该间谍软件由核心模块协同工作:`b.so`作为一个后门加载器,负责与命令与控制(C2)服务器通信;`l.so`则负责操纵SELinux策略以提升权限并确保持久性。
LANDFALL的C2通信使用HTTPS协议,但通过非标准的临时TCP端口进行。其通信数据为加密的JSON格式,包含了设备标识符、配置密钥和代理状态等信息。研究人员已识别出六个活跃的C2域名,如brightvideodesigns[.]com和healthyeatingontherun[.]com等,这些域名的IP地址主要位于欧洲和中东地区。
根据VirusTotal的提交样本分析,受感染的DNG样本来源地包括伊拉克、伊朗、土耳其和摩洛哥,暗示这是一场区域性的间谍活动。土耳其国家计算机应急响应小组(USOM)已将LANDFALL相关C2基础设施的IP地址标记为与APT(高级持续性威胁)相关且专注于移动设备。
尽管最终 attribution 尚未确认,但Unit 42的报告指出了一些重要线索。LANDFALL的调试字符串中出现了商业间谍软件供应商常用的代号“Bridge Head”,该代号与NSO Group、Variston、Cytrox和Quadream等私营攻击厂商(PSOA)存在关联。此外,LANDFALL的基础设施和攻击手法与先前被认为与阿联酋有关联、并在中东部署高级监控工具的Stealth Falcon组织存在相似之处。
三星已于2025年4月的安全更新中修补了此漏洞(CVE-2025-21042)。建议所有三星Galaxy用户务必及时更新设备系统,并保持警惕。
资讯来源:securityonline.info
转载请注明出处和本文链接
﹀
﹀
﹀
球分享
球点赞
球在看
点击阅读原文查看更多
