Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

LANDFALL: шпионское ПО для Samsung Galaxy через CVE-2025-21042

9
3 мин
Исследование, проведенное подразделением 42, выявило новый тип шпионского ПО для Android — LANDFALL, использующий уязвимость CVE-2025-21042 в библиотеке обработки изображений DNG на устройствах Samsung Galaxy. Обнаружение произошло в ходе расследования цепочки эксплойтов iOS, раскрытой ранее в 2025 году, и указывает на продолжающуюся тенденцию уязвимостей в обработке формата DNG на мобильных платформах. Анализ показал, что злоумышленники используют специально искажённые DNG-файлы, внутри которых содержится ZIP-архив, запускающий цепочку эксплойтов. Такая техника позволяет обойти первичные механизмы защиты и добиться выполнения кода на целевом устройстве. Архитектура LANDFALL соответствует типичной методологии коммерческих шпионских программ: многокомпонентные цепочки эксплойтов, модульная загрузка функциональности и поддержание персистентности на устройстве. «Вредоносное ПО включает в себя компонент, известный как b.so, в котором отсутствует определённая логика, но который указывает на
Оглавление

Исследование, проведенное подразделением 42, выявило новый тип шпионского ПО для Android — LANDFALL, использующий уязвимость CVE-2025-21042 в библиотеке обработки изображений DNG на устройствах Samsung Galaxy. Обнаружение произошло в ходе расследования цепочки эксплойтов iOS, раскрытой ранее в 2025 году, и указывает на продолжающуюся тенденцию уязвимостей в обработке формата DNG на мобильных платформах.

Ключевые выводы

  • Целевой фреймворк: уязвимость в библиотеке обработки изображений Samsung, затрагивающая DNG-файлы.
  • Техники распространения: искажённые DNG-файлы, содержащие встроенный ZIP-архив, используются в рамках цепочек эксплойтов.
  • Архитектура и модульность: LANDFALL имеет сложную модульную структуру, позволяющую расширять функциональность через загрузку дополнительных компонентов.
  • Ключевой компонент: b.so — библиотека, в которой отсутствует часть логики, но которая служит точкой загрузки и запуска дополнительных модулей.
  • Возможности вредоносного ПО: загрузка собственных общих объектных файлов, выполнение DEX-файлов из различных источников, управление настройками SELinux, манипуляция данными WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta) и сбор данных.
  • Сеть и управление: сетевое взаимодействие по протоколу HTTPS; компонент b.so использует нестандартные TCP‑порты для соединения с серверами C2. Конфигурация хранится в зашифрованном JSON-объекте, включающем сведения C2 и криптографические ключи.
  • Методы уклонения: обнаружены механизмы защиты от идентификации отладчика и динамического инструментирования для избежания детекции.
  • География поражений: по данным анализа через VirusTotal, потенциальные цели расположены в Ираке, Иране, Турции и Марокко.
  • Связанные уязвимости: обнаружено сходство с другой уязвимостью в той же библиотеке — CVE-2025-21043, что свидетельствует о системной проблеме в обработке DNG на мобильных платформах.

Технические детали и тактика злоумышленников

Анализ показал, что злоумышленники используют специально искажённые DNG-файлы, внутри которых содержится ZIP-архив, запускающий цепочку эксплойтов. Такая техника позволяет обойти первичные механизмы защиты и добиться выполнения кода на целевом устройстве. Архитектура LANDFALL соответствует типичной методологии коммерческих шпионских программ: многокомпонентные цепочки эксплойтов, модульная загрузка функциональности и поддержание персистентности на устройстве.

«Вредоносное ПО включает в себя компонент, известный как b.so, в котором отсутствует определённая логика, но который указывает на потенциал для расширения функциональности за счёт загрузки дополнительных модулей.»

Компонент b.so выступает не столько как самодостаточная прицельная нагрузка, сколько как загрузчик и менеджер дополнительных модулей. Это позволяет злоумышленникам доставлять и выполнять DEX-модули, загружать shared objects и манипулировать системными настройками (SELinux) и данными приложений (включая WhatsApp), обеспечивая длительный сбор и эксфильтрацию информации.

Последствия и рекомендации

Существование LANDFALL подчёркивает расширяющуюся экосистему коммерческих шпионских программ, которые могут использовать несколько эксплойтов zero-day для компрометации устройств. Особенно уязвимы устройства Samsung Galaxy с уязвимыми библиотеками обработки DNG.

Рекомендации для пользователей и организаций:

  • Немедленно устанавливать официальные обновления безопасности от производителя.
  • Ограничить открытие неизвестных или подозрительных изображений, особенно полученных из ненадёжных источников.
  • Мониторить сетевую активность на предмет нестандартных исходящих подключений и использования нетипичных TCP-портов.
  • Использовать комплексные решения EDR/MDM для обнаружения аномалий и предотвращения загрузки модулей.
  • Исследовать и приоритизировать аудит библиотек, работающих с форматом DNG, в составе процесса оценки безопасности мобильных приложений.

Заключение

Отдел 42 зафиксировал серьёзную кампанию целевого шпионажа на базе LANDFALL, использующую CVE-2025-21042 и демонстрирующую модульную, устойчивую к обнаружению архитектуру. Схожесть с CVE-2025-21043 указывает на необходимость тщательной проверки и оперативного исправления уязвимостей в библиотеке обработки изображений DNG на устройствах Samsung и мониторинга возможных дальнейших атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "LANDFALL: шпионское ПО для Samsung Galaxy через CVE-2025-21042".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются