Mercado Digital

Falha zero-click em aparelhos Samsung permitiu instalação do spyware LANDFALL via WhatsApp

vendasmulti351@gmail.com
vendasmulti351@gmail.com
2 Leitura mínima

Uma vulnerabilidade corrigida nos smartphones Samsung Galaxy foi explorada como zero-day para instalar o spyware comercial LANDFALL em alvos do Oriente Médio, revelou a Palo Alto Networks Unit 42.

Índice de Conteúdo

O problema, catalogado como CVE-2025-21042 (pontuação CVSS 8,8), é um out-of-bounds write na biblioteca libimagecodec.quram.so. Antes de ser corrigida pela Samsung em abril de 2025, a falha permitia a execução remota de código sem interação do usuário.

Como o ataque ocorria

Investigadores apontam que os invasores enviavam imagens maliciosas no formato DNG pelo WhatsApp. Esses arquivos carregavam um ZIP embutido que, ao explorar a vulnerabilidade, extraía uma biblioteca compartilhada responsável por acionar o LANDFALL.

No pacote também havia outro componente criado para alterar a política SELinux do dispositivo, concedendo privilégios elevados e garantindo persistência ao spyware.

Capacidades do LANDFALL

Depois de instalado, o software espião pode coletar gravações de microfone, localização, fotos, contatos, SMS, arquivos e registros de chamadas. Além disso, comunica-se com um servidor de comando e controle (C2) via HTTPS para receber novas cargas.

Alvos e linha do tempo

Dados do VirusTotal indicam possíveis vítimas no Iraque, Irã, Turquia e Marrocos. Amostras do LANDFALL datam de 23 de julho de 2024, com nomes de arquivos como “IMG-20240723-WA0000.jpg”. O grupo responsável pela campanha, rastreada como CL-UNK-1054, permanece desconhecido.

Falha zero-click em aparelhos Samsung permitiu instalação do spyware LANDFALL via WhatsApp - Imagem do artigo

Imagem: Internet

Outras falhas relacionadas

Em setembro de 2025, a Samsung informou que outra vulnerabilidade na mesma biblioteca, CVE-2025-21043, também havia sido usada como zero-day, mas sem ligação confirmada com o LANDFALL. No mesmo período, o WhatsApp divulgou a correção da falha CVE-2025-55177 para iOS e macOS, que foi encadeada com a CVE-2025-43300 da Apple em ataques pontuais contra menos de 200 usuários.

A Unit 42 observou semelhanças entre a infraestrutura de C2 do LANDFALL e domínios associados ao grupo Stealth Falcon (também conhecido como FruityArmor), embora não tenha encontrado sobreposições diretas até outubro de 2025.

Com informações de The Hacker News

Promotores dos EUA acusam profissionais de cibersegurança por ataques com ransomware BlackCat
GitHub lança Copilot CLI e leva assistente de IA diretamente ao terminal
GitHub apresenta roteiro para atualizar arquivos de saúde da comunidade com auxílio de IA
OpenAI apresenta Aardvark, agente baseado em GPT-5 que detecta e corrige falhas de código
Novo worm “GlassWorm” se espalha por extensões do VS Code em ataque de cadeia de suprimentos
Compartilhe este artigo
Artigo anterior Apple TV ganha perfis sem conta e modo infantil dedicado no tvOS 26.2
Próximo Artigo Acionistas da Tesla aprovam pacote recorde que pode levar Elon Musk ao primeiro trilhão pessoal em 10 anos

Esteja Conectado

HTV9 Dispositivo Multimídia Inteligente

Últimas Notícias

Google flagra malware que usa IA para alterar o próprio código e escapar de antivírus
Hardware e Periféricos
WhatsApp bloqueia contas de usuários por suposto envio de spam nesta sexta-feira
Cadeiras de Escritório
iPhone 13 de 128 GB atinge R$ 2.815 no Esquenta Black da Amazon
Cadeiras para Home Office
Falha zero-day em celulares Galaxy permitiu ataque de spyware Landfall
Análises e Reviews de Cadeiras

Você também pode gostar