Egyetlen kép is elég volt a fertőzéshez – láthatatlan kémprogram támadta a Samsung telefonokat

A Palo Alto Networks elemzése szerint a Landfall nevű Androidos kémprogram egy korábban ismeretlen sérülékenységet kihasználva már 2024 óta titokban fertőzhetett Samsung készülékeket. Elvileg elég volt hozzá, ha a felhasználó egy speciális képet megnyitott WhatsAppon keresztül – írta meg a Portfolio.

A vállalat kutatói egy új kémprogramot azonosítottak, amelyet Landfall néven emlegetnek. A program egy eddig nem dokumentált biztonsági rést használt ki Samsung telefonokon, mégpedig a gyártó egyik képfeldolgozó könyvtárában. Ez a hiba lehetővé tette, hogy a támadók egyetlen gondosan elkészített, DNG formátumú képfájl elküldésével teljes hozzáférést szerezzenek az érintett eszközökhöz. A Security Week beszámolója szerint ráadásul a felhasználónak még a képet sem kellett ténylegesen megnyitnia ahhoz, hogy a készülék megfertőződjön.

A sebezhetőség a CVE 2025 21042 azonosítót kapta, és egy olyan rendszerkomponensben bukkantak rá, amely a beérkező képfájlok feldolgozásáért felel. A támadók WhatsAppon keresztül juttatták el a célpontokhoz a speciálisan előkészített DNG képeket. A vizsgálat alapján a fertőzés nem a WhatsApp hibájára vezethető vissza, az alkalmazás működésében nem találtak rendellenességet, a problémát kizárólag a Samsung saját rendszerkomponensének gyengesége okozta.

Miután a Landfall megvetette a lábát a készüléken, gyakorlatilag korlátlan hozzáférést adott a támadóknak. A kémprogram képes volt a mikrofon hangjának rögzítésére, a készülék helyadatainak követésére, valamint fényképek, névjegyek és hívásnaplók kiszivárogtatására is. A Samsung 2025 áprilisában adta ki azt a biztonsági frissítést, amely javította a sérülékenységet, akkor azonban még nem tette közzé, hogy a hibát időközben aktívan ki is használták. A Palo Alto Networks utólagos elemzése szerint a Landfallt legalább 2024 júliusa óta bevetették, vagyis a kémprogram jóval a javítás megjelenése előtt működésben volt, és érinthette azokat a felhasználókat, akik késlekedtek a frissítés telepítésével.

A vizsgálat során a szakértők egy másik hibát is azonosítottak ugyanabban a képfeldolgozó könyvtárban. Ezt CVE 2025 21043 azonosítóval jelölték, és nulladik napi sérülékenységnek minősítették. A második hibát a Meta és a WhatsApp saját kutatói tárták fel. Bár a Landfall forráskódjában nem találtak közvetlen nyomot arra, hogy ezt a sebezhetőséget is aktívan kihasználták volna, a két hiba technikailag feltűnően hasonlít egymásra. Mindkettőt DNG formátumú képfájlokkal lehetett kiváltani, és mobilkommunikációs csatornákon keresztül terjesztették őket.

A rosszindulatú DNG minták elemzése alapján a Landfall elsősorban a Közel Kelet és Észak Afrika térségében volt aktív. A célpontok között leginkább iráni, iraki, török és marokkói felhasználók szerepeltek. A szűk földrajzi fókusz és az érintett országok köre erősen arra utal, hogy egy geopolitikai motivációjú kiberkémkedési kampányról van szó, amelyben kifejezetten a régió mobilkommunikációját próbálták megfigyelés alatt tartani.

Nyitókép: Josh Edelson / AFP

***