三星移动设备零日漏洞遭利用 被用于部署 LANDFALL 安卓间谍软件

HackerNews 编译，转载请注明出处：

三星 Galaxy 安卓设备中一个现已修复的安全漏洞，曾被作为零日漏洞利用，在中东地区的针对性攻击中投放了一款名为 LANDFALL 的 “商业级” 安卓间谍软件。

帕洛阿尔托网络公司 Unit 42 团队透露，此次攻击利用的是 CVE-2025-21042 漏洞（CVSS 评分：8.8）。这是 “libimagecodec.quram.so” 组件中存在的越界写入漏洞，远程攻击者可借此执行任意代码。三星已于 2025 年 4 月修复该问题。

“在野外攻击报告出现后，三星于 2025 年 4 月修复了该漏洞，但在此之前，它已被实际用于野外攻击，”Unit 42 表示。根据 VirusTotal 的提交数据，这一被标记为 CL-UNK-1054 的攻击活动，潜在目标位于伊拉克、伊朗、土耳其和摩洛哥。

值得一提的是，三星曾在 2025 年 9 月披露，同一库中的另一个漏洞（CVE-2025-21043，CVSS 评分：8.8）也曾被作为零日漏洞用于野外攻击。目前尚无证据表明该漏洞被用于 LANDFALL 间谍软件攻击活动。

攻击传播方式与时间线

经评估，攻击者通过 WhatsApp 发送 DNG（数字负片）格式的恶意图片实施攻击。证据显示，LANDFALL 样本最早可追溯至 2024 年 7 月 23 日，相关 DNG 文件的命名痕迹包括 “WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg” 和 “IMG-20240723-WA0000.jpg” 等。

帕洛阿尔托网络公司 Unit 42 高级首席研究员伊泰・科恩向《黑客新闻》透露，2024 年 7 月的样本与 2025 年 2 月的样本相比，未发现明显功能变化。

LANDFALL 间谍软件功能与攻击目标

LANDFALL 安装执行后，将作为一款全面的间谍工具，能够窃取敏感数据，包括麦克风录音、地理位置、照片、联系人、短信、文件和通话记录。

尽管 Unit 42 表示，该漏洞利用链可能采用了零点击攻击方式，无需用户交互即可触发 CVE-2025-21042 漏洞利用，但目前尚无迹象表明这种情况实际发生，也没有证据显示 WhatsApp 存在支持该假设的未知安全问题。

这款安卓间谍软件专门针对三星 Galaxy S22、S23、S24 系列设备，以及 Z Fold 4 和 Z Flip 4 机型 —— 涵盖了这家韩国电子巨头的部分旗舰设备，但不包括最新一代产品。

相关漏洞与技术细节

值得注意的是，同期 WhatsApp 披露，其 iOS 和 macOS 版应用存在一个漏洞（CVE-2025-55177，CVSS 评分：5.4）。该漏洞与苹果 iOS、iPadOS 和 macOS 系统中的 CVE-2025-43300 漏洞（CVSS 评分：8.8）被串联利用，在一场精密攻击中针对了不到 200 名用户。苹果和 WhatsApp 已随后修复这些漏洞。

Unit 42 对已发现的 DNG 文件分析显示，这些文件末尾附加了一个嵌入式 ZIP 文件。攻击者通过漏洞利用从压缩包中提取共享对象库，进而运行间谍软件。压缩包中还包含另一个共享对象，其设计用途是操控设备的 SELinux 策略，为 LANDFALL 赋予高级权限并助力其持久化运行。

加载 LANDFALL 的共享对象还会通过 HTTPS 与命令控制（C2）服务器通信，进入信标循环并接收未指明的后续阶段有效载荷，以备后续执行。

“目前，我们无法分享 C2 服务器发送的后续阶段有效载荷细节，” 科恩表示，“但可以确认的是，LANDFALL 是一个模块化间谍软件框架 —— 我们分析的加载器明显是为了从 C2 基础设施获取并执行额外组件而设计。这些后续阶段可能会扩展其监控和持久化能力，但在我们获取的样本中并未找到相关组件。”

攻击发起者与活动现状

目前尚不清楚该间谍软件及攻击活动的幕后主使。不过 Unit 42 指出，LANDFALL 的 C2 基础设施和域名注册模式与 Stealth Falcon（又称 FruityArmor）组织的特征相符，但截至 2025 年 10 月，尚未发现两者存在直接关联。

研究结果表明，LANDFALL 的投放可能是一场更广泛的 DNG 漏洞利用浪潮的一部分 —— 上述漏洞利用链也曾针对 iPhone 设备发起攻击。这一发现也凸显出，精密漏洞利用代码可能在公共代码库中隐藏很长时间，直到被全面分析前都未被察觉。

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文