Тут исследователи из Unit 42 (Palo Alto Networks) представили детальный разбор нового коммерческого шпионского ПО для Android под названием LANDFAL. Этот шпион в течение почти года активно эксплуатировал уязвимость нулевого дня (0-day) CVE-2025-21042 в библиотеке обработки изображений libimagecodec.quram.so на устройствах Samsung.
Механизм атаки Zero-click
Атака классифицируется как Zero-click, то есть не требует от пользователя никаких действий, даже открытия файла. Уязвимость эксплуатировалась в библиотеке, которая обрабатывает медиафайлы автоматически:
1. Начало атаки: Цепочка начинается со специально сформированного и отправленного файла формата DNG (raw-формат на базе TIFF). Этот формат выбран из-за его сложной структуры, которая предоставляет больше возможностей для эксплуатации.
2. Эксплуатация уязвимости: В конец DNG-файла был приклеен ZIP-архив. Уязвимость в библиотеке libimagecodec позволяла некорректно обработать этот файл, что приводило к сбою при обработке заголовков TIFF и давало возможность извлечь из прикрепленного архива два исполняемых файла формата ELF: b.so (загрузчик) и l.so (манипулятор политик SELinux).
3. Внедрение: Момент получения такого файла на устройстве (например, через мессенджер) запускал процесс обработки изображения и, как следствие, внедрение вредоносного кода.
Компоненты шпионского ПО LANDFALL
Шпионское ПО состоит из нескольких модулей, работающих сообща для обеспечения контроля и скрытности:
* Загрузчик (`b.so`): Основной 64-битный компонент, который сразу после загрузки проверяет переменные окружения (например, LD_PRELOAD) для избежания наследования и отладки. Он определяет свои права (root или нет), считывает из себя зашифрованный JSON-конфиг с адресами командных серверов (C2) и устанавливает с ними соединение по HTTPS на нестандартный порт. При наличии root-доступа пытается смонтировать tmpfs в своей рабочей директории, чтобы все артефакты жили в оперативной памяти и не оставляли следов на диске.
* Связь с C2: Первичный POST-запрос содержит детальный отпечаток устройства и самого зловреда. В ответ сервер присылает следующий этап в виде сжатого XZ-архива. Загрузчик распаковывает его в файл dec_a.so и выполняет его, используя механизм LD_PRELOAD и запуск системной утилиты /system/bin/id (классический трюк для внедрения в новый процесс).
* Манипулятор SELinux (`l.so`): Второй ключевой компонент, являющийся движком для манипуляции политиками SELinux. Он не содержит жестко прописанных правил, а умеет на лету парсить и загружать новые политики из внешнего источника, изменяя их прямо в памяти. Это критически важно для обхода системных ограничений безопасности и обеспечения постоянного присутствия (persistence) в системе.
Дополнительные функции
В коде LANDFALL были найдены функции, подтверждающие его шпионскую природу:
* Мониторинг: Код для мониторинга директории, поиска последних сделанных фото в DCIM.
* Обход защиты: Функции для обхода фреймворков для отладки и реверс-инжиниринга.
* Обновления: Способность загружать и выполнять дополнительные модули.
Уязвимость была устранена Samsung после обнаружения. Этот случай подчеркивает опасность автоматической обработки медиафайлов и объясняет, почему пользователи, озабоченные безопасностью, часто отключают автозагрузку медиа.
⬇️Поддержать автора⬇️
✅SBER: 2202 2050 7215 4401