Mercado Digital

Falha zero-click em aparelhos Samsung permitiu instalação do spyware LANDFALL via WhatsApp

vendasmulti351@gmail.com
vendasmulti351@gmail.com
2 Leitura mínima

Uma vulnerabilidade corrigida nos smartphones Samsung Galaxy foi explorada como zero-day para instalar o spyware comercial LANDFALL em alvos do Oriente Médio, revelou a Palo Alto Networks Unit 42.

Índice de Conteúdo

O problema, catalogado como CVE-2025-21042 (pontuação CVSS 8,8), é um out-of-bounds write na biblioteca libimagecodec.quram.so. Antes de ser corrigida pela Samsung em abril de 2025, a falha permitia a execução remota de código sem interação do usuário.

Como o ataque ocorria

Investigadores apontam que os invasores enviavam imagens maliciosas no formato DNG pelo WhatsApp. Esses arquivos carregavam um ZIP embutido que, ao explorar a vulnerabilidade, extraía uma biblioteca compartilhada responsável por acionar o LANDFALL.

No pacote também havia outro componente criado para alterar a política SELinux do dispositivo, concedendo privilégios elevados e garantindo persistência ao spyware.

Capacidades do LANDFALL

Depois de instalado, o software espião pode coletar gravações de microfone, localização, fotos, contatos, SMS, arquivos e registros de chamadas. Além disso, comunica-se com um servidor de comando e controle (C2) via HTTPS para receber novas cargas.

Alvos e linha do tempo

Dados do VirusTotal indicam possíveis vítimas no Iraque, Irã, Turquia e Marrocos. Amostras do LANDFALL datam de 23 de julho de 2024, com nomes de arquivos como “IMG-20240723-WA0000.jpg”. O grupo responsável pela campanha, rastreada como CL-UNK-1054, permanece desconhecido.

Falha zero-click em aparelhos Samsung permitiu instalação do spyware LANDFALL via WhatsApp - Imagem do artigo

Imagem: Internet

Outras falhas relacionadas

Em setembro de 2025, a Samsung informou que outra vulnerabilidade na mesma biblioteca, CVE-2025-21043, também havia sido usada como zero-day, mas sem ligação confirmada com o LANDFALL. No mesmo período, o WhatsApp divulgou a correção da falha CVE-2025-55177 para iOS e macOS, que foi encadeada com a CVE-2025-43300 da Apple em ataques pontuais contra menos de 200 usuários.

A Unit 42 observou semelhanças entre a infraestrutura de C2 do LANDFALL e domínios associados ao grupo Stealth Falcon (também conhecido como FruityArmor), embora não tenha encontrado sobreposições diretas até outubro de 2025.

Com informações de The Hacker News

Pacote falso do Nethereum no NuGet usa homógrafo para roubar chaves de carteiras de criptomoedas
Grupo Salt Typhoon explora falha em Citrix e usa malware Snappybee contra operadora europeia
Plataforma open source Wazuh ganha destaque em defesa contra ataques de ransomware
IA do Google descobre cinco falhas no WebKit do Safari; Apple libera atualizações de segurança
Coalizão Scattered LAPSUS$ Hunters cria 16 canais no Telegram e amplia ataques de extorsão de dados
Compartilhe este artigo
Artigo anterior Apple TV ganha perfis sem conta e modo infantil dedicado no tvOS 26.2
Próximo Artigo Acionistas da Tesla aprovam pacote recorde que pode levar Elon Musk ao primeiro trilhão pessoal em 10 anos

Esteja Conectado

HTV9 Dispositivo Multimídia Inteligente

Últimas Notícias

Pedra preciosa com cena mitológica é achada em forte romano ao norte da Muralha de Adriano
Universo Tech
Funcionário relata colapso do clima interno na Rockstar após demissão de 34 desenvolvedores
Hardware e Periféricos
Hackers chineses usam vulnerabilidades antigas para invadir ONG nos EUA e ampliar campanha global de espionagem
Mercado Digital
Apple prepara MacBook de baixo custo para 2026 com chip A18 Pro
Marketing e SEO

Você também pode gostar