FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

Palo Alto Networks威胁情报团队Unit 42的研究人员发现了一个名为LANDFALL的新型Android间谍软件家族。该恶意软件利用三星图像处理库中的0Day漏洞（CVE-2025-21042）入侵Galaxy系列设备。

中东地区的针对性攻击

这场自2024年年中开始的活动主要针对中东地区用户。攻击者通过WhatsApp发送嵌有间谍软件的恶意DNG图像文件，实现零点击感染并获取设备完全控制权。

LANDFALL的攻击载体利用了畸形的DNG（数字负片）图像文件——这是一种源自TIFF的原始图像格式。攻击者在图像文件末尾嵌入包含恶意负载的ZIP压缩包，成功利用了三星图像解码库libimagecodec.quram.so中的漏洞。

"我们发现这些畸形DNG图像文件末尾附加了嵌入式ZIP压缩包...分析表明这些文件利用了三星图像处理库libimagecodec.quram.so中的漏洞（CVE-2025-21042），三星已于2025年4月发布补丁。"

零点击感染机制

当用户打开或在特定条件下预览这些图像时，漏洞利用程序会静默触发，从图像中的ZIP负载提取共享对象（.so）二进制文件并在设备上执行。整个过程无需用户交互，与Pegasus和Predator等商业间谍软件平台采用的零点击感染机制类似。

"漏洞利用程序从嵌入式ZIP压缩包中提取共享对象库（.so）文件来运行LANDFALL间谍软件。"

商业级间谍软件功能

LANDFALL被描述为专为三星Galaxy系列设备（包括S22、S23、S24、Z Fold4和Z Flip4）设计的"商业级"间谍软件。一旦安装成功，攻击者即可获得对设备的广泛控制和监控能力。

"LANDFALL具备全面的监控功能，包括麦克风录音、位置追踪以及照片、联系人和通话记录的收集。"

技术实现细节

该间谍软件的核心模块b.so充当后门加载器，而辅助组件l.so则通过操纵SELinux策略来提升权限并确保持久性。这两个组件直接从恶意图像文件中提取，其复杂的感染框架可与已知的国家级间谍软件供应商相媲美。

LANDFALL的主要功能包括：

• 录制通话和环境音频
• 窃取联系人、短信、应用数据和照片
• 追踪位置并监控已安装应用
• 检测Frida和Xposed等调试框架以规避分析
• 操纵文件系统和应用目录，特别是针对WhatsApp媒体文件夹实现持久化

命令与控制架构

间谍软件通过非标准临时端口使用HTTPS协议与其C2服务器通信，发送包含设备标识符、配置密钥和Agent状态的加密JSON数据包。

"LANDFALL的b.so组件通过非标准临时TCP端口使用HTTPS协议与C2服务器通信...初始联系时会发送包含详细设备和间谍软件信息的POST请求。"

Unit 42识别出6个活跃的C2域名（包括brightvideodesigns[.]com和healthyeatingontherun[.]com），其中大部分解析到位于欧洲和中东的IP地址。

攻击溯源分析

VirusTotal提交记录显示，受感染的DNG样本来自伊拉克、伊朗、土耳其和摩洛哥的用户，表明这是一次区域性间谍活动。土耳其国家计算机应急响应小组（USOM）随后将与LANDFALL C2基础设施相关的IP地址标记为APT相关且以移动设备为目标的威胁。

虽然确切归属尚未确认，但Unit 42的报告指出其与商业间谍软件供应商存在显著重叠。在LANDFALL的调试字符串中发现的术语"Bridge Head"是NSO Group、Variston、Cytrox和Quadream等私营攻击组织（PSOA）常用的代号。

此外，LANDFALL的基础设施和攻击手法与Stealth Falcon组织存在相似之处，该组织此前与阿拉伯联合酋长国（UAE）有关联，并以在中东地区部署高级监控工具而闻名。

参考来源：

Zero-Click Samsung Zero-Day (CVE-2025-21042) Delivered LANDFALL Spyware Via Malicious DNG Images

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）