Una falla de seguridad parcheada en los dispositivos Android Samsung Galaxy fue explotada como día cero en un ataque dirigido en el Medio Oriente para entregar software espía de Android de «grado comercial» llamado LANDFALL.
Según la Unidad 42 de Palo Alto Networks, esta actividad implica la explotación de CVE-2025-21042 (puntuación CVSS: 8,8), un defecto de escritura fuera de límites en el componente ‘libimagecodec.quram.so’, que puede permitir a atacantes remotos ejecutar código arbitrario. Samsung resolvió este problema en abril de 2025.
«Esta vulnerabilidad fue explotada activamente en la naturaleza antes de que Samsung la parcheara en abril de 2025 luego de informes de ataques en el mundo real», dijo la Unidad 42. Según los datos enviados por VirusTotal, los objetivos potenciales para esta operación, rastreada como CL-UNK-1054, se encuentran en Irak, Irán, Turquía y Marruecos.
Este desarrollo se produce después de que Samsung revelara en septiembre de 2025 que otra falla en la misma biblioteca (CVE-2025-21043, puntuación CVSS: 8.8) también fue explotada como día cero. No hay evidencia de que esta falla de seguridad se haya utilizado como arma en la campaña LANDFALL.
Se considera que el ataque implicó el envío de imágenes maliciosas en forma de archivos DNG (negativo digital) a través de WhatsApp, con evidencia en la muestra de LANDFALL que data del 23 de julio de 2024. Esto se basa en un artefacto DNG con un nombre como «Imagen de WhatsApp 2025-02-10 a las 4.54.17 PM.jpeg». «IMG-20240723-WA0000.jpg»
Una vez instalado y en ejecución, LANDFALL actúa como una herramienta de espionaje integral que puede recopilar datos confidenciales, como grabaciones de micrófonos, información de ubicación, fotos, contactos, SMS, archivos y registros de llamadas. Esta cadena de exploits probablemente implicó el uso de un enfoque de cero clic para activar el exploit CVE-2025-21042 sin requerir la interacción del usuario.
Diagrama de flujo del software espía LANDFALL
En particular, casi al mismo tiempo, WhatsApp anunció que una falla en su aplicación de mensajería para iOS y macOS (CVE-2025-55177, puntuación CVSS: 5,4) estaba vinculada a una falla en Apple iOS, iPadOS y macOS, CVE-2025-43300 (puntuación CVSS: 8,8), como parte de una campaña sofisticada. Se ha revelado que puede apuntar a usuarios de menos de una persona. Desde entonces, Apple y WhatsApp han solucionado el problema.
Una cronología de archivos de imágenes DNG maliciosos recientes y actividad de explotación asociada.
El análisis de la Unidad 42 de los archivos DNG descubiertos reveló un archivo ZIP incrustado adjunto al final del archivo, que fue utilizado por el exploit para extraer bibliotecas de objetos compartidos del archivo y ejecutar software espía. El archivo también tiene otro objeto compartido diseñado para manipular la política SELinux del dispositivo para otorgar permisos elevados a LANDFALL y facilitar la persistencia.
El objeto compartido que carga LANDFALL se comunica con el servidor de comando y control (C2) a través de HTTPS, ingresa a un bucle de baliza y recibe una carga útil de siguiente etapa no especificada para su posterior ejecución.
Actualmente se desconoce quién está detrás del software espía o la campaña. Dicho esto, la Unidad 42 dijo que si bien la infraestructura C2 de LANDFALL y los patrones de registro de dominio coinciden con los de Stealth Falcon (también conocido como FruityArmor), no se ha detectado ninguna superposición directa entre los dos grupos hasta octubre de 2025.
«Dado que las muestras aparecieron por primera vez en julio de 2024, esta actividad destaca cómo los exploits avanzados pueden permanecer en repositorios públicos durante largos períodos de tiempo hasta que se comprendan completamente», dijo la Unidad 42.
Source link
