Lỗ hổng Samsung bị khai thác để triển khai phần mềm gián điệp Android LANDFALL

[Starlink]

Một lỗ hổng bảo mật hiện đã được vá trong các thiết bị Samsung Galaxy Android đã bị khai thác như một lỗ hổng zero-day để phát tán phần mềm gián điệp Android "cấp thương mại" có tên là LANDFALL trong các cuộc tấn công có chủ đích ở Trung Đông.

Hoạt động này liên quan đến việc khai thác CVE-2025-21042 (điểm CVSS: 8,8), một lỗ hổng ghi ngoài giới hạn trong thành phần "libimagecodec.quram.so" có thể cho phép kẻ tấn công từ xa thực thi mã tùy ý, theo Palo Alto Networks Unit 42. Sự cố này đã được Samsung giải quyết vào tháng 4 năm 2025.

"Lỗ hổng này đã bị khai thác mạnh mẽ trên thực tế trước khi Samsung vá nó vào tháng 4 năm 2025, sau các báo cáo về các cuộc tấn công trên thực tế", Đơn vị 42 cho biết. Các mục tiêu tiềm năng của hoạt động này, được theo dõi là CL-UNK-1054, nằm ở Iraq, Iran, Thổ Nhĩ Kỳ và Maroc dựa trên dữ liệu do VirusTotal cung cấp.

Diễn biến này diễn ra sau khi Samsung tiết lộ vào tháng 9 năm 2025 rằng một lỗ hổng khác trong cùng thư viện (CVE-2025-21043, điểm CVSS: 8,8) cũng đã bị khai thác trên thực tế dưới dạng lỗ hổng zero-day. Không có bằng chứng nào cho thấy lỗ hổng bảo mật này đã bị lợi dụng trong chiến dịch LANDFALL. Samsung vẫn chưa trả lời ngay lập tức yêu cầu bình luận.

Người ta đánh giá rằng các cuộc tấn công liên quan đến việc gửi qua WhatsApp các hình ảnh độc hại dưới dạng tệp DNG (Digital Negative), với bằng chứng về các mẫu LANDFALL có từ tận ngày 23 tháng 7 năm 2024. Điều này dựa trên các hiện vật DNG mang tên như "WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg" và "IMG-20240723-WA0000.jpg."

Itay Cohen, nhà nghiên cứu chính cấp cao tại Palo Alto Networks Unit 42, chia sẻ với The Hacker News rằng họ không quan sát thấy bất kỳ thay đổi chức năng đáng kể nào giữa các mẫu từ tháng 7 năm 2024 đến tháng 2 năm 2025, khi hiện vật LANDFALL gần đây nhất được tải lên VirusTotal.

LANDFALL, sau khi được cài đặt và thực thi, sẽ hoạt động như một công cụ gián điệp toàn diện, có khả năng thu thập dữ liệu nhạy cảm, bao gồm bản ghi âm micrô, vị trí, ảnh, danh bạ, tin nhắn SMS, tệp và nhật ký cuộc gọi.

Trong khi Đơn vị 42 cho biết chuỗi khai thác có thể liên quan đến việc sử dụng phương pháp không cần nhấp chuột để kích hoạt khai thác CVE-2025-21042 mà không yêu cầu bất kỳ tương tác nào của người dùng, hiện tại không có dấu hiệu nào cho thấy điều đó đã xảy ra hoặc tồn tại một vấn đề bảo mật chưa xác định trong WhatsApp để hỗ trợ cho giả thuyết này.

Phần mềm gián điệp Android này được thiết kế đặc biệt để nhắm vào các thiết bị dòng Galaxy S22, S23 và S24 của Samsung, cũng như Z Fold 4 và Z Flip 4, bao gồm một số thiết bị hàng đầu của tập đoàn điện tử Hàn Quốc, ngoại trừ thế hệ mới nhất.

Điều đáng chú ý là cùng thời điểm đó, WhatsApp tiết lộ rằng một lỗ hổng trong ứng dụng nhắn tin dành cho iOS và macOS ( CVE-2025-55177, điểm CVSS: 5,4) đã được liên kết với CVE-2025-43300 (điểm CVSS: 8,8), một lỗ hổng trong Apple iOS, iPadOS và macOS, có khả năng nhắm mục tiêu vào dưới 200 người dùng như một phần của chiến dịch tinh vi. Apple và WhatsApp đã vá các lỗ hổng này kể từ đó.

Phân tích của Unit 42 về các tệp DNG được phát hiện cho thấy chúng đi kèm một tệp ZIP nhúng được thêm vào cuối tệp, với lỗ hổng được sử dụng để trích xuất thư viện đối tượng dùng chung từ kho lưu trữ để chạy phần mềm gián điệp. Kho lưu trữ cũng chứa một đối tượng dùng chung khác được thiết kế để thao túng chính sách SELinux của thiết bị nhằm cấp quyền nâng cao cho LANDFALL và tạo điều kiện cho việc duy trì hoạt động.

Đối tượng chia sẻ tải LANDFALL cũng giao tiếp với máy chủ chỉ huy và điều khiển (C2) qua HTTPS để vào vòng lặp báo hiệu và nhận các tải trọng giai đoạn tiếp theo không xác định để thực thi sau đó.

"Tại thời điểm này, chúng tôi không thể chia sẻ chi tiết về các tải trọng giai đoạn tiếp theo được phân phối từ máy chủ C2", Cohen nói. "Điều chúng tôi có thể nói là LANDFALL là một nền tảng phần mềm gián điệp dạng mô-đun -- trình tải mà chúng tôi phân tích rõ ràng được thiết kế để truy xuất và thực thi các thành phần bổ sung từ cơ sở hạ tầng C2. Các giai đoạn sau đó có thể mở rộng khả năng giám sát và duy trì của nó, nhưng chúng không được phục hồi trong các mẫu mà chúng tôi có."

Hiện vẫn chưa rõ ai đứng sau phần mềm gián điệp hoặc chiến dịch này. Tuy nhiên, Đơn vị 42 cho biết cơ sở hạ tầng C2 và mô hình đăng ký tên miền của LANDFALL trùng khớp với Stealth Falcon (hay còn gọi là FruityArmor), mặc dù tính đến tháng 10 năm 2025, chưa phát hiện thấy sự trùng lặp trực tiếp nào giữa hai cụm này.

Những phát hiện này cho thấy việc triển khai LANDFALL có thể là một phần của làn sóng khai thác DNG rộng lớn hơn, vốn cũng đã tấn công các thiết bị iPhone thông qua các chuỗi khai thác đã đề cập ở trên. Chúng cũng nhấn mạnh cách các lỗ hổng bảo mật tinh vi có thể vẫn tồn tại trong các kho lưu trữ công cộng trong thời gian dài, và không bị phát hiện cho đến khi chúng được phân tích đầy đủ.

"Chúng tôi không tin rằng lỗ hổng cụ thể này vẫn đang được sử dụng, vì Samsung đã vá nó vào tháng 4 năm 2025", Cohen nói. "Tuy nhiên, các chuỗi lỗ hổng liên quan ảnh hưởng đến các thiết bị Samsung và iOS đã được phát hiện gần đây nhất là vào tháng 8 và tháng 9, cho thấy các chiến dịch tương tự vẫn còn hoạt động cho đến tận gần đây. Một số cơ sở hạ tầng có thể liên quan đến LANDFALL vẫn đang hoạt động, điều này có thể cho thấy các hoạt động đang diễn ra hoặc tiếp diễn của cùng một nhóm tin tặc."