Uma falha de segurança em dispositivos Samsung Galaxy foi explorada como zero-day para entregar um spyware comercial chamado LANDFALL em ataques direcionados no Oriente Médio. O vetor de ataque consistia em imagens maliciosas no formato DNG (Digital Negative) enviadas via WhatsApp, usando uma abordagem que não exigia qualquer interação do usuário para explorar a vulnerabilidade.
A vulnerabilidade em questão é a CVE-2025-21042, com score CVSS de 8.8, uma falha de escrita fora dos limites no componente “libimagecodec.quram.so” que permitia a execução remota de código arbitrário.
A Samsung corrigiu o problema em abril de 2025, mas há evidências de amostras do LANDFALL desde julho de 2024 – isso significa que a falha foi explorada por quase um ano antes do patch ser disponibilizado.
Como funciona o ataque zero-click
Os alvos potenciais da campanha, rastreada como CL-UNK-1054, estavam localizados no Iraque, Irã, Turquia e Marrocos, baseado em dados de submissão ao VirusTotal. O que torna esse ataque particularmente preocupante é que a vítima não precisa clicar, abrir ou interagir de forma alguma com o arquivo malicioso. Simplesmente receber a imagem via WhatsApp já era suficiente para a exploração.
Os arquivos DNG continham um arquivo ZIP embutido no final, e o exploit era usado para extrair uma biblioteca de objeto compartilhado desse arquivo para executar o spyware. Tem até outro objeto compartilhado projetado para manipular a política SELinux do dispositivo para conceder ao LANDFALL permissões elevadas e facilitar a persistência no sistema.
Os artefatos DNG encontrados tinham nomes que imitavam imagens comuns do WhatsApp, como “WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg” e “IMG-20240723-WA0000.jpg”, aumentando a credibilidade e dificultando a identificação da ameaça.
O que o spyware LANDFALL consegue fazer
O LANDFALL em si é um spyware bem completo, capaz de coletar gravação de microfone, localização, fotos, contatos, SMS, arquivos e registros de chamadas. É basicamente vigilância total do dispositivo comprometido. Uma vez instalado e executado, o malware atua como uma ferramenta abrangente de espionagem.
A biblioteca compartilhada que carrega o LANDFALL também se comunica com um servidor de comando e controle (C2) através de HTTPS para entrar em um loop de beacon e receber payloads de próxima fase não especificados para execução subsequente. Essa arquitetura modular permite que os atacantes expandam as capacidades do spyware conforme necessário.
Possível conexão com grupo de ameaças conhecido
A Unit 42, da Palo Alto Networks, que descobriu e analisou a campanha, detectou alguns padrões de infraestrutura de comando e controle e registro de domínio que se alinham com o Stealth Falcon, também conhecido como FruityArmor.
No entanto, até outubro de 2025 não foram detectadas sobreposições diretas entre os dois clusters. Isso sugere que pode haver conexões, mas não é conclusivo ainda sobre quem está por trás dessa operação.
Stealth Falcon é um grupo de ameaças conhecido por conduzir operações de espionagem cibernética no Oriente Médio, geralmente com motivações político-governamentais.
Contexto de exploits zero-click em 2025
O desenvolvimento ocorre em um contexto mais amplo de vulnerabilidades críticas. A Samsung já havia divulgado em setembro de 2025 que outra falha na mesma biblioteca (CVE-2025-21043, CVSS score: 8.8) também tinha sido explorada in-the-wild como zero-day.
Não há evidências de que essa segunda vulnerabilidade tenha sido weaponizada na campanha do LANDFALL, mas demonstra um padrão de problemas nesse componente específico.
Na mesma época, o WhatsApp divulgou que uma falha em seu aplicativo para iOS e macOS foi encadeada com uma vulnerabilidade da Apple para potencialmente atingir menos de 200 usuários como parte de uma campanha sofisticada.
Amostras permaneceram públicas por mais de um ano
Um aspecto particularmente preocupante dessa campanha é sua duração. Segundo a Unit 42, “desde a aparição inicial de amostras em julho de 2024, essa atividade destaca como exploits sofisticados podem permanecer em repositórios públicos por um período estendido antes de serem completamente compreendidos”.
O fato de que amostras do LANDFALL estavam disponíveis em plataformas como o VirusTotal por meses antes da descoberta completa da campanha indica que as técnicas de evasão empregadas pelos atacantes foram eficazes em evitar detecção automatizada.
A Samsung lançou o patch de segurança em abril de 2025, e usuários de dispositivos Galaxy devem garantir que seus aparelhos estejam atualizados com as correções de segurança mais recentes para se proteger contra essa e outras vulnerabilidades similares.
Para acompanhar mais casos como esse, siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de tecnologia e segurança.