Uma vulnerabilidade crítica em dispositivos da linha Galaxy da Samsung foi explorada como zero-day para instalar o spyware LANDFALL, uma ferramenta avançada de espionagem direcionada a alvos no Oriente Médio. O ataque foi descoberto pela equipe da Unit 42, da Palo Alto Networks, e afeta modelos como Galaxy S22, S23, S24, além dos dobráveis Z Fold 4 e Z Flip 4. A falha explorada, identificada como CVE-2025-21042 (CVSS 8.8), estava no componente “libimagecodec.quram.so” e permitia execução remota de código. A vulnerabilidade foi corrigida pela Samsung em abril de 2025, após relatos de exploração ativa em ambiente real.
O vetor inicial do ataque teria sido o envio de imagens maliciosas via WhatsApp, utilizando o formato DNG (Digital Negative), que continham um arquivo ZIP oculto. Dentro do arquivo, estavam bibliotecas maliciosas capazes de instalar o spyware e manipular permissões do sistema operacional Android. O malware LANDFALL é capaz de capturar áudio, localização, fotos, contatos, SMS, arquivos e histórico de chamadas. A análise também revelou que ele se comunica com um servidor C2 para receber instruções adicionais, sugerindo uma arquitetura modular com funções de espionagem em múltiplas etapas. As evidências indicam que o ataque pode ter sido realizado de forma zero-click, ou seja, sem necessidade de interação do usuário.
No entanto, não foi encontrada vulnerabilidade específica no WhatsApp que confirme essa hipótese. Os primeiros artefatos do LANDFALL datam de julho de 2024, e os últimos foram detectados em fevereiro de 2025. Embora o exploit CVE-2025-21042 esteja corrigido, há indícios de que campanhas semelhantes continuaram ativas até setembro, usando outras falhas e infraestrutura relacionada. A autoria da campanha ainda não foi atribuída com certeza, mas os analistas apontam semelhanças com o grupo Stealth Falcon, responsável por ataques anteriores com características semelhantes. O caso destaca a sofisticação crescente de ataques contra dispositivos móveis e o uso de formatos comuns como imagens para camuflar atividades maliciosas.
