2024 júliusa óta aktív egy új, eddig ismeretlen kémprogram, a LandFall, amelyet egy kritikus zero-day sebezhetőség kihasználásával juttatnak be Samsung Galaxy okostelefonokra. A támadás különlegessége, hogy a rosszindulatú kódot álcázott képfájlok – pontosabban manipulált .DNG formátumú képek – segítségével terjesztik WhatsApp üzeneteken keresztül. A fenyegetést a Palo Alto Networks Unit 42 kutatói azonosították és részletesen elemezték.
A sebezhetőség és a támadás technikai háttere
A támadás alapját a Samsung Android rendszerében található libimagecodec.quram.so nevű képfeldolgozó könyvtárban felfedezett CVE-2025-21042 azonosítójú zero-day sebezhetőség adja. Ez egy out-of-bounds write hiba, amely lehetővé teszi a távoli támadó számára, hogy tetszőleges kódot futtasson a célkészüléken. A sebezhetőség súlyossági besorolása kritikus.
A támadás során a rosszindulatú szereplő egy speciálisan előkészített .DNG (Digital Negative) nyers képformátumot használ, amelyhez egy .ZIP archívumot csatolnak a fájl végén. Ez az álcázás lehetővé teszi, hogy a képfájl első ránézésre ártalmatlannak tűnjön, miközben rejtett kártékony komponenseket tartalmaz.
A LandFall kémprogram működése és képességei
A Unit 42 szakértői által vizsgált minták alapján a LandFall két fő összetevőből áll:
- Loader (b.so): Ez a modul képes további komponenseket letölteni és betölteni a készülékre.
- SELinux policy manipulator (l.so): Ez módosítja az eszköz biztonsági beállításait, hogy magasabb jogosultságokat szerezzen és tartós jelenlétet biztosítson magának.
A kémprogram képes az eszköz hardveres és SIM-kártya azonosítóinak (IMEI, IMSI), felhasználói fiókok, Bluetooth eszközök, helymeghatározó szolgáltatások és telepített alkalmazások listájának felismerésére és begyűjtésére. Ezen túlmenően modulokat futtat, megkerüli a védekezési mechanizmusokat, és hosszú távon rejtve marad.
Kémkedési funkciók részletezése
A LandFall számos érzékeny adatot képes megszerezni és továbbítani:
- Mikrofonról történő hangfelvétel készítése
- Telefonhívások rögzítése
- Valós idejű helymeghatározás követése
- Fotókhoz, névjegyekhez, SMS-ekhez és hívásnaplókhoz való hozzáférés
- Böngészési előzmények megfigyelése
- Készülék fájlrendszerének feltérképezése és adatgyűjtés
Célpontok és érintett készülékek
A kutatók megállapították, hogy a LandFall elsősorban a Samsung Galaxy S22, S23 és S24 szériás modelleket célozza meg, valamint a Z Fold 4 és Z Flip 4 készülékeket. Érdekesség, hogy az újabb S25 széria nem szerepel az ismert célpontok között.
A támadások főként a Közel-Kelet régióban zajlanak, különösen Irakban, Iránban, Törökországban és Marokkóban élő felhasználók ellen irányulnak. A kutatók hat parancs- és vezérlőszervert (C2) azonosítottak, amelyek közül néhányat Törökország CERT-je már rosszindulatúként jelölt meg.
A LandFall eredete és kapcsolódó fenyegetések
Bár a pontos felelős személy vagy csoport nem ismert, több jel is arra utalhat, hogy a kampány kapcsolódik az Egyesült Arab Emírségekből induló Stealth Falcon műveletekhez. A “Bridge Head” elnevezésű loader komponens neve pedig olyan kereskedelmi kémprogramoknál is előfordul (például NSO Group vagy Quadream termékeknél), amelyek hasonló módszerekkel dolgoznak.
A DNG formátum kihasználása nem új keletű: korábban már voltak hasonló támadási láncok Apple iOS rendszereken (CVE-2025-43300) és WhatsApp platformon (CVE-2025-55177). Samsung is javított egy másik hasonló sebezhetőséget (CVE-2025-21043) ugyanebben a könyvtárban idén áprilisban.
Megelőzés és védekezés a LandFall támadások ellen
A legfontosabb védekezési lépések közé tartozik:
- Rendszeres biztonsági frissítések telepítése: Mind az operációs rendszerre, mind az alkalmazásokra vonatkozóan haladéktalanul alkalmazzuk az elérhető javításokat.
- Automatikus média letöltés kikapcsolása: Üzenetküldő alkalmazásokban érdemes letiltani az automatikus képletöltést, így elkerülhetővé válik a rosszindulatú fájlok automatikus fogadása.
- Speciális védelmi módok bekapcsolása: Androidon aktiváljuk az „Advanced Protection” funkciót, iOS-en pedig használjuk a „Lockdown Mode” nevű biztonsági beállítást.
- Tudatos internethasználat: Ne nyissunk meg gyanús vagy ismeretlen forrásból érkező képeket vagy fájlokat WhatsApp-on vagy más üzenetküldőkön keresztül.
Záró gondolatok
A LandFall kampány ismét rámutat arra, hogy még napjaink fejlett mobilplatformjai sem mentesek a súlyos biztonsági fenyegetésektől. A kereskedelmi célú kémprogramok egyre kifinomultabb módszerekkel próbálnak behatolni felhasználói eszközökre – ebben az esetben egy rejtett ZIP archívummal ellátott DNG kép formájában. Ezért kiemelten fontos a folyamatos frissítés és tudatos védekezés minden mobilhasználó számára.
További információkért és részletes technikai elemzésért érdemes követni a Palo Alto Networks Unit 42 jelentéseit és ajánlásait.
