帕洛阿尔托网络公司(Palo Alto Networks)威胁情报团队 Unit 42 的研究人员发现了一个此前未知的 Android 间谍软件家族,命名为 LANDFALL。该家族利用三星图像处理库中的 零日漏洞(CVE-2025-21042) 入侵 Galaxy 设备。
自 2024 年年中以来,该攻击活动持续活跃,似乎针对中东地区用户。间谍软件被嵌入通过 WhatsApp 发送的恶意 DNG 图像文件中,可实现零点击感染和对设备的全面监控。
LANDFALL 的感染载体依赖于畸形 DNG(数字负片)图像文件——一种源自 TIFF 的原始图像格式。攻击者在图像文件中嵌入包含间谍软件有效载荷的 ZIP 压缩包,利用三星负责图像解码的库 libimagecodec.quram.so 中的漏洞。
“我们发现的畸形 DNG 图像文件在末尾附加了一个嵌入式 ZIP 压缩包……分析表明,这些 DNG 文件利用了 CVE-2025-21042 漏洞,该漏洞存在于三星图像处理库 libimagecodec.quram.so 中,三星已于 2025 年 4 月修复。”
一旦文件被打开(甚至在某些条件下预览),漏洞利用程序就会静默触发,从图像的 ZIP 有效载荷中提取共享对象(.so)二进制文件并在设备上执行。攻击无需用户交互,表明其采用零点击感染机制,与 Pegasus 和 Predator 等商业间谍软件平台类似。
“该漏洞利用程序从嵌入式 ZIP 压缩包中提取共享对象库(.so 文件),以运行 LANDFALL 间谍软件。”
LANDFALL 被描述为“商业级”间谍软件,专门针对三星 Galaxy 机型设计,包括 S22、S23、S24、Z Fold4 和 Z Flip4。安装后,攻击者可获得对设备的广泛控制和可见性。
“LANDFALL 支持全面监控,包括麦克风录音、位置跟踪,以及收集照片、联系人与通话记录。”
间谍软件的核心模块 b.so 充当后门加载器,而次要组件 l.so 则通过操纵 SELinux 策略提升权限并确保持久化。这两个组件直接从恶意图像文件中提取,展现出可与已知国家背景间谍软件供应商相匹敌的复杂感染框架。
LANDFALL 的功能包括:
- 录制通话和环境音频;
- 窃取联系人、短信、应用数据和照片;
- 跟踪位置并监控已安装应用;
- 检测 Frida 和 Xposed 等调试框架以规避分析;
- 操纵文件系统和应用目录,尤其针对 WhatsApp 媒体文件夹实现持久化。
该间谍软件通过 HTTPS 在非标准临时端口上与命令控制(C2)服务器通信,发送包含设备标识符、配置密钥和代理状态的加密 JSON 有效载荷。
“LANDFALL 的 b.so 组件通过 HTTPS 使用非标准临时 TCP 端口与 C2 服务器通信……发起包含详细设备和间谍软件信息的 POST 请求。”
Unit 42 识别出六个活跃的 C2 域名,包括 brightvideodesigns[.]com 和 healthyeatingontherun[.]com,其中大多数解析到位于欧洲和中东的 IP 地址。
VirusTotal 的提交证据显示,受感染的 DNG 样本源自伊拉克、伊朗、土耳其和摩洛哥用户,表明这是一场区域性间谍活动。土耳其国家计算机应急响应小组(USOM)随后将与 LANDFALL C2 基础设施相关的 IP 地址标记为与 APT 相关的移动恶意软件。
尽管确切归属尚未确认,但 Unit 42 的报告强调其与商业间谍软件供应商存在显著重叠。LANDFALL 调试字符串中出现的术语“Bridge Head”是私营部门攻击行为体(PSOAs)的常用代号,如 NSO Group、Variston、Cytrox 和 Quadream。
此外,LANDFALL 的基础设施和攻击手法与 Stealth Falcon 存在相似之处——该组织此前与阿联酋(UAE)相关联,以在中东部署高级监控工具而闻名。
发表评论
您还未登录,请先登录。
登录