📸 A Palo Alto Networks Unit 42 kutatói egy fejlett kémkedési kampányt azonosítottak, amely egy Samsung Galaxy Android-eszközöket érintő 0-day sebezhetőséget használt ki.
A hibát CVE-2025-21042 néven jegyzik (CVSS 8.8), és a libimagecodec.quram.so képfeldolgozó könyvtárban található out-of-bounds write hiba, amely távoli kódfuttatást tesz lehetővé.
A sebezhetőséget már a javítás előtt kihasználták, a Samsung csak 2025 áprilisában adta ki a biztonsági frissítést.
A támadás központi eleme egy új, korábban nem dokumentált Android-kémprogram: LANDFALL.
🧩 A támadás lánca
A kampány egy látszólag ártalmatlan WhatsApp-kép révén indult.
A kártékony DNG-formátumú képfájl például így nézett ki:
WhatsApp Image 2025-02-10 at 4.54.17 PM.jpegIMG-20240723-WA0000.jpg
A fájl végére ZIP-archívumot illesztettek, amely .so (shared object) könyvtárakat csomagolt ki a célzott eszközön.
Az egyik modul SELinux-politikát módosított jogosultság-emelés céljából, míg a másik hátsó kaput (backdoort) telepített.
🎯 Célpontok és terjedés
A LANDFALL elsősorban a következő csúcskategóriás készülékeket támadta:
- Galaxy S22 / S23 / S24
- Z Fold 4
- Z Flip 4
A fertőzött minták Közel-Keleti és Észak-afrikai régiókhoz köthetők: Irak, Irán, Törökország, Marokkó.
🧠 Képességek
A LANDFALL-spyware az alábbi tevékenységekre képes:
- Hangrögzítés (mikrofon, hívások)
- GPS-alapú helymeghatározás
- Fényképek, SMS-ek, fájlok, kontaktok, hívásnaplók gyűjtése
- Tartós jelenlét fenntartása SELinux-szabályok módosításával
A támadás valószínűleg „zero-click” jellegű volt (nem igényelt felhasználói műveletet), bár a pontos belépési vektor még nem bizonyított.
🌍 Tágabb összefüggés és lehetséges elkövetők
A LANDFALL-kampány nem elszigetelt eset.
- A Samsung szeptemberben újabb hibát javított ugyanebben a könyvtárban (CVE-2025-21043, CVSS 8.8).
- Hasonló támadási lánc jelent meg az Apple-ökoszisztémában is: CVE-2025-43300 (iOS/macOS DNG-hiba) + CVE-2025-55177 (WhatsApp-láncolás).
A Unit 42 a kampányt CL-UNK-1054 azonosítóval követi, és Stealth Falcon / FruityArmor mintázataira hivatkozik (közel-keleti kiberkém-csoport), bár bizonyított attribúció még nincs.
🔬 Kiemelt tanulságok
- Képfeldolgozó könyvtárak (DNG/TIFF) új támadási felületet jelentenek.
- A képes üzenetküldésen keresztüli fertőzés drasztikusan csökkenti a felhasználói éberség szerepét.
- A LANDFALL moduláris felépítése (loader + privilege-escalation + C2) kereskedelmi kémprogramokra emlékeztet, nem tipikus vírusokra.
- A sebezhetőség már 2024 júliusától aktív volt — a frissítés (2025 április) kilenc hónapos expozíciós ablakot hagyott.
🧰 Mit tehetnek a felhasználók és szervezetek
Felhasználóknak
- 📱 Frissítsd azonnal a készüléket: CVE-2025-21042 javítva az áprilisi biztonsági csomagban.
- 🔐 Kapcsold be az automatikus frissítéseket, ellenőrizd a verziót a Beállítások → Szoftverfrissítés menüben.
- ⚠️ Ne nyiss meg gyanús WhatsApp-képeket, még ismerősöktől sem.
- 🛰️ Figyeld a telefon viselkedését (hirtelen adatforgalom, mikrofon-aktiválás, akku-túlmelegedés).
Szervezeteknek / DPO-knak
- Mobile-fleet audit: azonosítsd, milyen Samsung modellek vannak használatban, és melyik patch-szinten.
- MDM-politika frissítése: a képi mellékletek automatikus mentésének tiltása.
- Network monitoring: C2-kapcsolatok figyelése (Unit 42 által publikált IP-listák alapján).
- Felhasználói oktatás: ne tekintsük a mobil-eszközt „másodlagos” kockázatnak.
- BYOD-irányelvek módosítása: csak teljesen frissített készülékek csatlakozhatnak vállalati hálózathoz.
🧭 Összegzés
A LANDFALL-kémprogram és a CVE-2025-21042 sebezhetőség felfedezése fordulópont a mobil-kiberbiztonságban.
Egyetlen, álcázott WhatsApp-kép is elegendő volt a teljes rendszer átvételéhez.
A támadás állami vagy kereskedelmi kémtevékenységre utaló szofisztikáltságot mutat.
Bár a hiba javítva lett, az üzenet világos:
„A mobil 0-day sebezhetőségek nem elméleti fenyegetések – hanem aktív kémfegyverek.”
