În ultimele luni, comunitatea de securitate cibernetică a fost zguduită de dezvăluirea unui atac sofisticat care a vizat milioane de utilizatori Samsung. Vulnerabilitatea de tip zero-day CVE-2025-21042, a fost descoperită în biblioteca de procesare a imaginilor din Android utilizată de dispozitivele Samsung. Aceasta a permis implantarea spyware-ului LANDFALL pe modele populare din seriile Galaxy și Z.
Atacul este considerat unul dintre cele mai critice incidente de securitate recente, deoarece a fost exploatat în mod activ înainte ca firma sud-coreeană să poată lansa un patch.
Ce este o vulnerabilitate zero-day și cum a fost implicată Samsung?
O vulnerabilitate “zero-day” este o breșă de securitate necunoscută producătorului, ceea ce înseamnă că atacatorii pot profita de ea înainte ca dezvoltatorii să o poata corecta. În acest caz, problema a afectat biblioteca de procesare a imaginilor folosită de Android pe telefoanele Samsung. Aceasta este responsabilă pentru decodarea unei varietăți de formate foto, inclusiv unele proprietare ale brandului.
Această bibliotecă a permis executarea de cod malițios prin intermediul unor fișiere imagine manipulate intenționat.
Cum funcționa spyware-ul LANDFALL?
Potrivit cercetătorilor de la Palo Alto Networks, LANDFALL a fost răspândit prin intermediul unor imagini DNG modificate. Acestea ajungeau pe telefoanele țintă prin aplicații de mesagerie, fiind raportat WhatsApp ca posibil vector de distribuție. Meta (compania-mamă WhatsApp) neagă însă implicarea, afirmând că nu există dovezi care să lege platforma de această campanie.
Odată ce imaginea ajungea pe telefonul Samsung vulnerabil, exploatarea nu necesita niciun clic. Simpla primire a fișierului era suficientă pentru compromiterea dispozitivului.
După infectare, spyware-ul putea:
- înregistra audio prin microfon, inclusiv apeluri telefonice;
- monitoriza în timp real locația GPS;
- accesa galeria foto, mesajele, contactele, istoricul apelurilor și al navigării;
- rămâne ascuns de scanările antivirus;
- supraviețui chiar și după repornirea telefonului.
Este vorba, așadar, despre un instrument de supraveghere extrem de avansat, creat cu capabilități asemănătoare celor folosite în atacuri cibernetice de nivel statal.
Ce telefoane Samsung au fost vizate de LANDFALL?
Cele mai afectate modele au fost: Galaxy S22, Galaxy S23, Galaxy S24, Z Fold 4 și Z Flip 4. Interesant este că seria Galaxy S25 nu a fost țintită de această campanie.
Atacurile au avut loc în special în Orientul Mijlociu: Turcia, Iran, Irak și Maroc. Experții subliniază că nu a fost o campanie de distribuție în masă, ci una extrem de precisă, având motivații de spionaj.
O perioadă de 10 luni de vulnerabilitate maximă
Cercetătorii raportează că exploatarea a început în iulie 2024, însă vulnerabilitatea a fost corectată de Samsung abia în aprilie 2025, fără o comunicare publică despre riscurile implicate. Astfel, telefoanele afectate au fost expuse timp de aproape 10 luni, perioadă în care atacatorii au avut acces neîngrădit la dispozitivele compromise.
În plus, în septembrie 2025 Samsung a mai corectat o vulnerabilitate asemănătoare, CVE-2025-21043, tot în biblioteca de procesare a imaginilor. Acest fapt sugerează că această componentă a fost o țintă constantă pentru atacatori.
Ce trebuie să facă utilizatorii Samsung pentru a fi protejați?
Specialiștii recomandă utilizatorilor Samsung Galaxy care rulează Android 13, 14 sau 15 să verifice dacă au instalat actualizarea de securitate din aprilie 2025 sau o versiune mai nouă. Este esențial ca dispozitivele să fie actualizate, deoarece actualizarea securizează vulnerabilitatea exploatată.
Recomandări suplimentare pentru protecție:
- Dezactivați descărcarea automată a imaginilor în WhatsApp, Telegram și alte aplicații similare.
- Activați Android Advanced Protection (sau Lockdown Mode pe iPhone pentru utilizatorii cu ambele platforme).
- Evitați deschiderea imaginilor provenite din surse necunoscute.
- Mențineți constant telefonul actualizat cu cele mai noi patch-uri de securitate.
Atacul LANDFALL – un avertisment sever
Atacul LANDFALL reprezintă un avertisment sever despre vulnerabilitatea dispozitivelor moderne în fața campaniilor de spionaj sofisticate. Telefoanele Samsung afectate au fost expuse timp îndelungat, iar utilizatorii trebuie să fie mai conștienți ca oricând de riscurile asociate cu fișiere aparent inofensive precum imaginile.
Menținerea sistemului actualizat și adoptarea unor practici de securitate stricte pot face diferența între un dispozitiv sigur și unul compromis.
Sursa: forbes.com