Hakeri su iskoristili ranjivost CVE-2025-21042 da dostave malver korisnicima na Bliskom istoku putem posebno kreiranih slika.
Prema izvještaju Palo Alto Networksa objavljenom u petak, nedavno otkriveni Android špijunski softver, nazvan Landfall, korišćen je za kompromitovanje Samsung uređaja iskorišćavanjem zero-day ranjivosti.
Malver je iskoristio ranjivost označenu kao CVE-2025-21042, koja pogađa Samsungovu biblioteku za obradu slika i omogućava udaljeno izvršavanje koda.
Hakeri su, prema svemu sudeći, slali posebno kreirane DNG slike putem WhatsAppa ciljanom korisniku. Napadi su bili usmjereni na Samsung Galaxy telefone, a hakeri su mogli dostaviti Landfall koristeći tzv. zero-click eksploataciju – bez potrebe za interakcijom žrtve.
Bezbjednosna kompanija je napomenula da nije otkrila nove ranjivosti u samom WhatsAppu.
Landfall može da inficira uređaje Samsung Galaxy S22, S23, S24, Z Fold4 i Z Flip4. Nakon infekcije, malver omogućava napadaču špijuniranje žrtve – snimanje mikrofona, praćenje lokacije i izvlačenje podataka, uključujući fotografije, kontakte i evidenciju poziva.
Samsung je ranjivost CVE-2025-21042 ispravio u aprilu, ali u bezbjednosnom saopštenju kompanije nije pomenuta eksploatacija u stvarnim napadima. Palo Alto navodi da su napadi Landfall kampanje aktivni najmanje od jula 2024. godine, te da je ranjivost korišćena kao zero-day prije nego što su zakrpe objavljene.
CVE-2025-21042 je slična ranjivosti CVE-2025-21043, još jednoj zero-day grešci koja je nedavno zakrpljena u istoj biblioteci. Ranjivost CVE-2025-21043, koju su prijavili Meta i WhatsApp, omogućava udaljeno izvršavanje koda i, po svemu sudeći, takođe je korišćena od strane proizvođača špijunskog softvera.
„Iako nije eksploatisana u Landfall uzorcima koje smo otkrili, sličnosti između eksploata za Landfall (CVE-2025-21042) i ove ranjivosti (CVE-2025-21043) su upečatljive. Obje su javno objavljene otprilike u isto vrijeme i obje su povezane sa obradom DNG slikovnih fajlova koji su dostavljeni putem mobilnih komunikacionih aplikacija“, naveli su iz Palo Alto Networksa.
Nekoliko nedjelja prije objave CVE-2025-21043, Apple je zakrpio ranjivost CVE-2025-43300, za koju se vjeruje da je bila iskorišćena zajedno sa WhatsApp zero-day greškom CVE-2025-55177 za isporuku špijunskog softvera Apple korisnicima.
Palo Alto Networks nije mogao potvrditi da je lanac eksploata CVE-2025-43300/CVE-2025-55177 korišćen za isporuku Landfall špijunskog softvera iOS korisnicima.
Kompanija takođe nije mogla pripisati Landfall poznatom komercijalnom proizvođaču špijunskog softvera, te trenutno prati hakera iza CVE-2025-21042 napada pod oznakom CL-UNK-1054.
Utvrđene su određene veze sa grupom Stealth Falcon povezanoj sa UAE, ali Palo Alto nije pronašao konačne dokaze koji bi potvrdili povezanost Landfalla sa tim hakerom. Nazivi komponenti malvera, međutim, sugerišu da su u razvoju mogli učestvovati i drugi proizvođači nadzornog softvera poput NSO, Variston i Cytrox.
Analiza malicioznih DNG fajlova koju je sproveo Palo Alto Networks pokazuje da su Landfall napadi bili usmjereni na pojedince u regionu Bliskog istoka i sjeverne Afrike, uključujući Iran, Irak, Tursku i Maroko.
Izvor: SecurityWeek
