三星0Day漏洞遭间谍软件LANDFALL利用入侵Galaxy设备
💡
原文中文,约1800字,阅读约需5分钟。
📝
内容提要
Palo Alto Networks的Unit 42发现了一种新型Android间谍软件LANDFALL,利用三星图像处理库漏洞(CVE-2025-21042)进行零点击感染,主要针对中东用户。攻击者通过WhatsApp发送恶意DNG图像,获取设备控制权并进行全面监控。
🎯
关键要点
- Palo Alto Networks的Unit 42发现了一种新型Android间谍软件LANDFALL。
- LANDFALL利用三星图像处理库中的0Day漏洞(CVE-2025-21042)进行零点击感染。
- 该恶意软件主要针对中东地区用户,自2024年年中开始的攻击活动。
- 攻击者通过WhatsApp发送恶意DNG图像文件,获取设备完全控制权。
- 恶意DNG图像文件末尾嵌入ZIP压缩包,利用三星图像解码库中的漏洞。
- LANDFALL具备全面的监控功能,包括麦克风录音、位置追踪和数据收集。
- 间谍软件的核心模块b.so充当后门加载器,辅助组件l.so提升权限。
- LANDFALL通过非标准临时端口与C2服务器通信,发送加密JSON数据包。
- Unit 42识别出6个活跃的C2域名,感染样本来自伊拉克、伊朗、土耳其和摩洛哥。
- LANDFALL的攻击手法与NSO Group等商业间谍软件供应商存在显著重叠。
❓
延伸问答
LANDFALL间谍软件是如何感染设备的?
LANDFALL通过发送恶意DNG图像文件实现零点击感染,用户无需交互即可被感染。
LANDFALL间谍软件主要针对哪个地区的用户?
LANDFALL主要针对中东地区的用户。
LANDFALL间谍软件的监控功能有哪些?
LANDFALL具备麦克风录音、位置追踪、数据收集等全面监控功能。
LANDFALL是如何与C2服务器通信的?
LANDFALL通过非标准临时端口使用HTTPS协议与C2服务器通信,发送加密JSON数据包。
LANDFALL间谍软件的攻击手法与哪些组织相似?
LANDFALL的攻击手法与NSO Group等商业间谍软件供应商存在显著重叠。
LANDFALL间谍软件利用了什么漏洞?
LANDFALL利用了三星图像处理库中的0Day漏洞(CVE-2025-21042)。
🏷️
标签
➡️
