СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
08.11.2025
#Dev#ИБ#Инфра

LANDFALL: шпионское ПО для Samsung Galaxy через CVE-2025-21042

Исследование, проведенное подразделением 42, выявило новый тип шпионского ПО для Android — LANDFALL, использующий уязвимость CVE-2025-21042 в библиотеке обработки изображений DNG на устройствах Samsung Galaxy. Обнаружение произошло в ходе расследования цепочки эксплойтов iOS, раскрытой ранее в 2025 году, и указывает на продолжающуюся тенденцию уязвимостей в обработке формата DNG на мобильных платформах.

Ключевые выводы

  • Целевой фреймворк: уязвимость в библиотеке обработки изображений Samsung, затрагивающая DNG-файлы.
  • Техники распространения: искажённые DNG-файлы, содержащие встроенный ZIP-архив, используются в рамках цепочек эксплойтов.
  • Архитектура и модульность: LANDFALL имеет сложную модульную структуру, позволяющую расширять функциональность через загрузку дополнительных компонентов.
  • Ключевой компонент: b.so — библиотека, в которой отсутствует часть логики, но которая служит точкой загрузки и запуска дополнительных модулей.
  • Возможности вредоносного ПО: загрузка собственных общих объектных файлов, выполнение DEX-файлов из различных источников, управление настройками SELinux, манипуляция данными WhatsApp (мессенджер, принадлежит запрещённой в России и признанной экстремистской американской корпорации Meta) и сбор данных.
  • Сеть и управление: сетевое взаимодействие по протоколу HTTPS; компонент b.so использует нестандартные TCP‑порты для соединения с серверами C2. Конфигурация хранится в зашифрованном JSON-объекте, включающем сведения C2 и криптографические ключи.
  • Методы уклонения: обнаружены механизмы защиты от идентификации отладчика и динамического инструментирования для избежания детекции.
  • География поражений: по данным анализа через VirusTotal, потенциальные цели расположены в Ираке, Иране, Турции и Марокко.
  • Связанные уязвимости: обнаружено сходство с другой уязвимостью в той же библиотеке — CVE-2025-21043, что свидетельствует о системной проблеме в обработке DNG на мобильных платформах.

Технические детали и тактика злоумышленников

Анализ показал, что злоумышленники используют специально искажённые DNG-файлы, внутри которых содержится ZIP-архив, запускающий цепочку эксплойтов. Такая техника позволяет обойти первичные механизмы защиты и добиться выполнения кода на целевом устройстве. Архитектура LANDFALL соответствует типичной методологии коммерческих шпионских программ: многокомпонентные цепочки эксплойтов, модульная загрузка функциональности и поддержание персистентности на устройстве.

«Вредоносное ПО включает в себя компонент, известный как b.so, в котором отсутствует определённая логика, но который указывает на потенциал для расширения функциональности за счёт загрузки дополнительных модулей.»

Компонент b.so выступает не столько как самодостаточная прицельная нагрузка, сколько как загрузчик и менеджер дополнительных модулей. Это позволяет злоумышленникам доставлять и выполнять DEX-модули, загружать shared objects и манипулировать системными настройками (SELinux) и данными приложений (включая WhatsApp), обеспечивая длительный сбор и эксфильтрацию информации.

Последствия и рекомендации

Существование LANDFALL подчёркивает расширяющуюся экосистему коммерческих шпионских программ, которые могут использовать несколько эксплойтов zero-day для компрометации устройств. Особенно уязвимы устройства Samsung Galaxy с уязвимыми библиотеками обработки DNG.

Рекомендации для пользователей и организаций:

  • Немедленно устанавливать официальные обновления безопасности от производителя.
  • Ограничить открытие неизвестных или подозрительных изображений, особенно полученных из ненадёжных источников.
  • Мониторить сетевую активность на предмет нестандартных исходящих подключений и использования нетипичных TCP-портов.
  • Использовать комплексные решения EDR/MDM для обнаружения аномалий и предотвращения загрузки модулей.
  • Исследовать и приоритизировать аудит библиотек, работающих с форматом DNG, в составе процесса оценки безопасности мобильных приложений.

Заключение

Отдел 42 зафиксировал серьёзную кампанию целевого шпионажа на базе LANDFALL, использующую CVE-2025-21042 и демонстрирующую модульную, устойчивую к обнаружению архитектуру. Схожесть с CVE-2025-21043 указывает на необходимость тщательной проверки и оперативного исправления уязвимостей в библиотеке обработки изображений DNG на устройствах Samsung и мониторинга возможных дальнейших атак.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: