2025-11-12 08:45 浙江
安小圈
📱 **严峻的安全威胁**:三星Galaxy安卓手机曝出零日漏洞CVE-2025-21042,该漏洞存在于图像编解码库中,允许攻击者在用户不知情的情况下,通过特制的图像文件植入名为“LANDFALL”的商业级间谍软件,实现零点击攻击,窃取大量敏感数据。
🎯 **精准的目标锁定**:LANDFALL间谍软件并非广泛传播,而是高度针对性地攻击三星高端旗舰机型,包括Galaxy S22、S23、S24系列以及Z Fold4和Z Flip4。其活动显示出明确的地域性,目标主要集中在中东国家,如伊拉克、伊朗、土耳其和摩洛哥。
⚙️ **复杂的攻击手法**:攻击链包含多个精密环节,例如将恶意DNG文件伪装成常见图片格式,利用CVE-2025-21042漏洞触发后,提取加载器以建立与命令与控制服务器的连接,并利用SELinux策略操纵器获取设备更高权限,实现间谍软件的持久化驻留。
🔗 **广泛的DNG漏洞利用**:此次LANDFALL攻击并非孤立事件,而是更广泛的“DNG漏洞利用浪潮”的一部分。几乎在同一时期,iPhone设备也出现了利用DNG图像处理缺陷和WhatsApp漏洞的复杂攻击链,表明此类文件格式的处理库已成为攻击者的重点目标。
2025-11-12 08:45 浙江
安小圈
两大境外品牌手机同时爆出了可被用于间谍软件攻击的严重漏洞。
近日,Palo Alto Networks的Unit42安全研究团队披露,三星Galaxy安卓手机中一个零日漏洞在野外被黑客积极利用。攻击者利用该漏洞在定向攻击中植入一款名为“LANDFALL”的商业级安卓间谍软件,可在用户毫无察觉的情况下实施(零点击)攻击。
漏洞详情:图像编解码库的致命缺陷
此次攻击的核心是CVE-2025-21042漏洞,这是一个存在于三星设备 “libimagecodec.quram.so” 图像编解码库组件中的越界写入(out-of-bounds write)缺陷。该漏洞的CVSS评分为8.8(高危),允许远程攻击者通过发送特制的图像文件,在目标设备上执行任意代码。
Unit42确认:“在三星于2025年4月发布补丁之前,该漏洞已在野外被积极利用。”
值得注意的是,这并非该组件首次出现问题。三星在2025年9月曾披露,同一库中的另一个高危漏洞(CVE-2025-21043)也曾被作为零日漏洞在野外利用。这表明该图像处理库已成为攻击者(尤其是间谍软件供应商)的重点研究目标。
商业级间谍软件分析:LANDFALL 的“精准狙击”
攻击者利用CVE-2025-21042漏洞植入的载荷是一款名为LANDFALL的商业级安卓间谍软件。
功能全面:一旦安装,LANDFALL就会变成一个强大的间谍工具,能够窃取海量的敏感数据,包括:
麦克风录音
设备地理位置
照片、联系人、短信和文件
通话记录
目标明确:该间谍软件并非大规模无差别传播,而是专门针对三星的高端旗舰机型,包括GalaxyS22、S23、S24系列,以及ZFold4和ZFlip4。
地域性:根据VirusTotal的提交数据分析,此次活动的潜在目标(跟踪为CL-UNK-1054)主要位于伊拉克、伊朗、土耳其和摩洛哥等中东国家。
攻击链剖析:DNG 图像与SELinux 操纵
研究人员对LANDFALL的攻击链进行了深入分析,揭示了其复杂的利用手法。
1. 投递载体:伪装的DNG图像攻击评估涉及通过WhatsApp发送恶意图像。这些图像是DNG文件,但可能被伪装成常见的 .jpeg或.jpg格式(例如 "WhatsApp Image2025-02-10at4.54.17PM.jpeg")。LANDFALL的样本最早可以追溯到2024年7月23日。
2. 零点击?:Unit42指出,攻击链可能采用了“零点击”(zero-click)方式,即使用户不进行任何交互,只要收到图像就可能触发漏洞。但目前没有明确证据表明存在未知的WhatsApp漏洞来支持这一假设。
3. 漏洞触发与执行恶意的DNG文件在文件末尾附加了一个嵌入式的ZIP压缩包。当三星设备尝试处理这个畸形的DNG图像时,CVE-2025-21042漏洞被触发。
4. 权限提升与持久化漏洞利用成功后,会从ZIP压缩包中提取两个关键的共享对象库(.so文件):
加载器 (.so):负责运行LANDFALL间谍软件的主体,并与C2(命令与控制)服务器建立HTTPS连接,进入信标循环(beaconing loop)并等待接收下一阶段的攻击载荷。
SELinux策略操纵器 (.so): 这是一个更为隐蔽且危险的组件。它被设计用于操纵设备的SELinux策略,旨在为LANDFALL授予(正常应用无法获得的)更高权限,并帮助其在设备上实现持久化驻留。
iPhone也不能幸免,更广泛的DNG漏洞利用浪潮
目前,尚不清楚谁是LANDFALL间谍软件或此次攻击行动的幕后黑手。
然而,Unit42发现LANDFALL的C2基础设施和域名注册模式,与另一个知名的威胁行为体Stealth Falcon(又名FruityArmor)的模式相吻合(dovetail)。尽管如此,截至2025年10月,尚未检测到两者之间存在直接的重叠。
此事件并非孤立。研究结果表明,LANDFALL的交付很可能是更广泛的“DNG 漏洞利用浪潮”的一部分。几乎在同一时间,一个针对iPhone设备的复杂攻击链也被披露,该攻击同样利用了DNG图像处理缺陷(CVE-2025-43300),并结合了WhatsApp的漏洞(CVE-2025-55177)。
总结:三星用户需立即更新安全布丁
Palo Alto Networks的研究员Itay Cohen表示,由于三星已在2025年4月修复了CVE-2025-21042,他们不认为这个特定的漏洞利用仍在被使用。
然而,警报并未完全解除。Cohen 指出:“在8月和9月,我们观察到影响三星和iOS设备的相关漏洞利用链仍然活跃,这表明类似的攻击活动直到最近仍在持续。一些可能与LANDFALL相关的基础设施也仍处于在线状态,这可能暗示着同一伙攻击者正在进行持续或后续的活动。”
GoUpSec认为,此事件再次凸显了移动设备操作系统和复杂文件格式(如 DNG)处理库已成为高级威胁(特别是商业间谍软件)的首要目标。对于所有三星用户而言,立即检查并确保您的设备已更新到2025年4月及之后发布的所有安全补丁,是抵御此类威胁的最关键步骤。
参考链接:
https://unit42.paloaltonetworks.com/landfall-is-new-commercial-grade-android-spyware/
国家出手!网络安全产业低价中标乱象能否终结?
AI辅助创作,多种专业模板,深度分析,高质量内容生成。从观点提取到深度思考,FishAI为您提供全方位的创作支持。新版本引入自定义参数,让您的创作更加个性化和精准。
鱼阅,AI 时代的下一个智能信息助手,助你摆脱信息焦虑