Mais um dia, mais um ataque de malware em smartphones. Pesquisadores da Unit 42, o braço de inteligência de ameaças da Palo Alto Networks, revelaram um spyware sofisticado conhecido como “Landfall”, que tem como alvo os celulares Samsung Galaxy. Segundo os pesquisadores, essa campanha explorou uma falha zero-day no software Android da Samsung para roubar uma grande quantidade de dados pessoais, permanecendo ativa por quase um ano. Felizmente, a vulnerabilidade subjacente já foi corrigida, e os ataques provavelmente foram direcionados a grupos específicos.
A Unit 42 afirma que o Landfall apareceu pela primeira vez em julho de 2024, explorando uma falha de software agora catalogada como CVE-2025-21042. A Samsung lançou uma correção para seus aparelhos em abril de 2025, mas os detalhes do ataque só foram revelados agora.
Mesmo que você tenha navegado pelos cantos mais obscuros da internet em 2024 e no início de 2025 com um dispositivo Samsung Galaxy, é improvável que tenha sido infectado. A equipe acredita que o Landfall foi utilizado no Oriente Médio para espionar indivíduos específicos. Ainda não se sabe quem está por trás dos ataques.
O Landfall é especialmente traiçoeiro porque é o que se chama de ataque “zero-click”, ou seja, pode comprometer o sistema sem qualquer ação direta do usuário. A Unit 42 só detectou o Landfall devido a dois bugs semelhantes que haviam sido corrigidos no Apple iOS e no WhatsApp. Combinadas, essas duas falhas permitiam a execução remota de código, então a equipe começou a procurar por explorações semelhantes — e acabou encontrando arquivos de imagem maliciosos enviados ao VirusTotal que revelaram o ataque do Landfall.
Imagens que não são apenas imagens
Um arquivo de imagem tradicional não é executável, mas certos arquivos podem ser corrompidos propositalmente de forma a carregar código malicioso. No caso do Landfall, os invasores usaram arquivos DNG modificados, um tipo de arquivo bruto baseado no formato TIFF. Dentro desses arquivos DNG, os agentes de ameaça desconhecidos haviam embutido arquivos ZIP contendo cargas maliciosas.
Antes da atualização de abril de 2025, os celulares Samsung tinham uma vulnerabilidade em sua biblioteca de processamento de imagens. Trata-se de um ataque “zero-click” porque o usuário não precisa abrir ou executar nada. Quando o sistema processa a imagem maliciosa para exibição, ele extrai arquivos de biblioteca compartilhada do ZIP para executar o spyware Landfall.
A carga útil também modifica a política SELinux do dispositivo para conceder ao Landfall permissões ampliadas e acesso a dados confidenciais.
No Comments