一张WhatsApp照片即可入侵三星设备:零日漏洞传播LANDFALL间谍软件

安全研究人员发现利用三星图像处理库零日漏洞的复杂攻击链,通过WhatsApp发送恶意DNG图片文件,无需用户交互即可在三星设备上安装LANDFALL间谍软件,实现完全设备控制。

一张WhatsApp照片即可入侵三星设备:零日漏洞传播LANDFALL间谍软件

2025年11月13日,12:17 | 新闻 | 0条评论

标签:awareness, j00ru, landfall, samsung, spyware, whatsapp

Unit 42的安全研究人员揭露了一起利用零日漏洞安装LANDFALL间谍软件的网络间谍活动。该漏洞存在于三星Galaxy负责图像处理和解码的库中。恶意软件隐藏在通过WhatsApp发送的DNG图形文件中,很可能不需要用户的任何交互(0-click),在收到消息后自动运行。

TLDR摘要

  • Unit42安全研究人员揭露了针对中东的网络间谍活动
  • LANDFALL恶意软件利用图形文件处理库中的安全漏洞(CVE-2025-21042)控制三星Galaxy设备
  • 恶意软件通过WhatsApp传递
  • 很可能不需要用户交互
  • 首批恶意软件样本于2024年检测到
  • 2025年4月,三星发布了修复该漏洞的安全更新

攻击发现

包含间谍软件的软件样本在VirusTotal服务中被检测到。从文件名判断:whatsapp image 2025-02-10 at 4.54.17 pm.jpeg、IMG-20240723-WA0000.jpg,一切表明恶意软件从2024年起就活跃传播,通信渠道正是WhatsApp。

上述攻击机制类似于2025年8月发现的攻击活动,当时网络犯罪分子使用相同的攻击向量感染苹果设备。值得一提的是2020年的波兰相关事件,当时安全研究员j00ru演示了对三星Galaxy Note 10的0-click攻击,利用了三星Messages应用中的漏洞。

攻击方案

攻击从发送包含恶意附件——DNG(Digital Negative)扩展名文件的消息开始。这是类似于TIFF的原始图像格式。Dropper作为ZIP归档附加在文件末尾。

恶意软件隐藏在DNG图形文件中

利用libimagecodec.quram.so库(负责图像处理和解码)中的安全漏洞CVE-2025-21042,攻击者能够提取归档中包含的库文件,然后下载并安装LANDFALL间谍软件。攻击链如下:

LANDFALL恶意软件感染链

归档包含两个文件:b.so(Bridge Head)和压缩文件l.xz。b.so文件充当后门。技术分析表明它是ELF ARM64对象,缺乏符号且动态链接。其任务是解压l.xz文件并与命令与控制(C2)服务器建立通信,以下载额外的恶意软件组件。

值得注意的是l.so文件,它负责操纵设备的SELinux策略,使下载的恶意软件组件不被阻止(潜在恶意代码)并能以提升的权限运行(权限升级到系统内核级别)。

这里出现一个问题:l.so从哪里获得操纵SELinux策略的权限?

要回答这个问题,需要回到CVE-2025-21042漏洞。这是一个越界写入漏洞,导致内存损坏和执行攻击者代码。关键的是exploit在内核模式运行,实际上意味着对设备的完全控制,从而允许修改所有安全机制,包括SELinux。

技术细节

b.so组件通过HTTPS与C2服务器连接,使用短暂的、非标准TCP端口,增加了网络流量检测难度。在下载有效载荷之前,它向服务器发送确认准备就绪的信息。

建立与C2服务器连接的HTTPS请求结构

如上所示,第一步向C2服务器发送与软件版本、代理ID、用户ID以及恶意软件在受感染设备上存储文件的系统路径相关的信息。

有趣的是,攻击者使用了证书固定技术,意味着尝试窃听网络流量将失败。C2服务器的公钥被硬编码在b.so文件中。建立连接时,客户端验证收到的服务器证书是否与公钥对应,这有效阻止了标准的中间人攻击。

示例配置数据如下所示:

允许与C2服务器建立连接的配置数据

配置数据以加密形式放置在b.so文件中。攻击者使用了XOR算法,密钥放置在文件内部。

成功与服务器建立连接后,发送有效载荷。恶意软件将原始字节保存为aa.so,使用XZ/LZMA解码器解压缩接收的数据,结果保存为dec_a.so。然后,根据选择的执行策略:

  • 交互模式:导出LD_PRELOAD和PRELOAD_PATH变量指向包含SELinux策略的l.so文件,然后运行:

    1

    LD_PRELOAD=dec_a.so PRELOAD_PATH=../l.so /system/bin/id

  • 被动模式:导出LD_PRELOAD变量,然后运行:

    1

    LD_PRELOAD=dec_a.so /system/bin/id

在上述情况下,恶意软件使用id程序加载恶意代码。这是Living-off-the-Land技术的例子,即利用用户设备上安装的工具/软件实现恶意目的。

隐蔽机制

LANDFALL实现了先进痕迹清理和自毁机制,在特定时间后(约2小时)自动激活。恶意软件持续删除临时文件、解压缩的模块以及工作目录/data/data/com.samsung.ipservice/files/中的日志,以增加入侵后分析难度。如果检测到与异常操作环境(沙箱)相关的威胁或达到时间限制,它会执行删除所有组件(b.so、l.so、dec_a.so)的过程。

恶意软件允许攻击者完全控制设备。在此背景下应理解为:访问通话记录、消息、麦克风、摄像头、浏览器历史、录音、GPS位置跟踪。用户通常不知道被感染,且在严格规定时间后自动删除痕迹显著增加了入侵后分析难度,证明了其技术先进性。

攻击目标

从进行的分析来看,恶意软件专用于三星Galaxy S22、S23、S24、Z Fold 4、Z Flip 4设备,攻击目标是中东用户,主要是伊拉克、伊朗、土耳其、摩洛哥。对VirusTotal门户上样本的分析未显示其他区域的攻击痕迹,证明了活动精确针对性。

Unit42团队发布的报告未明确说明攻击背后是谁。一切表明LANDFALL是出售给政府的商业间谍软件。C2基础设施与阿联酋的Stealth Falcon组织显示出某些相似性(证书固定、模块化、针对性),但这未得到明确确认。

此外,代码中使用特定命名,如:Bridge Head,表明与移动间谍软件供应商如NSO Group(Pegasus软件)、Variston(Heliconica软件)的关联。上述两家公司在感染第一阶段都使用Bridge Head名称。

防护措施

在所描述活动中,重新启动设备有效删除了LANDFALL,因为恶意软件未实现系统持久性。但由于自毁机制和在设备上相对较短的活动时间,此方法实际上作为保护措施效果有限。攻击者来得及获取感兴趣的信息,然后恶意软件自动删除所有组件,从而掩盖感染痕迹。

用户很可能不知道成为攻击目标,设备被接管。对于0-click攻击,完全保护可能不可能。但值得及时了解所用系统更新信息,安全补丁发布后立即安装。

2025年4月,三星发布了修复该漏洞的安全更新。

来源:unit42 ~_secmike

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次