三星0Day漏洞遭间谍软件LANDFALL利用入侵Galaxy设备
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
Palo Alto Networks的Unit 42发现了一种新型Android间谍软件LANDFALL,利用三星图像处理库漏洞(CVE-2025-21042)进行零点击感染,主要针对中东用户。攻击者通过WhatsApp发送恶意DNG图像,获取设备控制权并进行全面监控。
🎯
关键要点
- Palo Alto Networks的Unit 42发现了一种新型Android间谍软件LANDFALL。
- LANDFALL利用三星图像处理库中的0Day漏洞(CVE-2025-21042)进行零点击感染。
- 该恶意软件主要针对中东地区用户,自2024年年中开始的攻击活动。
- 攻击者通过WhatsApp发送恶意DNG图像文件,获取设备完全控制权。
- 恶意DNG图像文件末尾嵌入ZIP压缩包,利用三星图像解码库中的漏洞。
- LANDFALL具备全面的监控功能,包括麦克风录音、位置追踪和数据收集。
- 间谍软件的核心模块b.so充当后门加载器,辅助组件l.so提升权限。
- LANDFALL通过非标准临时端口与C2服务器通信,发送加密JSON数据包。
- Unit 42识别出6个活跃的C2域名,感染样本来自伊拉克、伊朗、土耳其和摩洛哥。
- LANDFALL的攻击手法与NSO Group等商业间谍软件供应商存在显著重叠。
🏷️
标签
➡️
