LANDFALL：利用图像文件入侵三星手机的间谍框架

LANDFALL 是一个新型Android间谍框架，Unit 42分析认为这是一个商业级别的威胁。该攻击活动利用恶意DNG（数字负片）图像文件，在高端Galaxy设备上获取代码执行权限。

攻击向量

攻击基于一个CVSS评分9.8的关键"越界"漏洞（现已修复），追踪为CVE-2025-21042，该漏洞存在于某些三星机型的图像处理库（“libimagecodec.quram.so”）中。

“重要的是，我们的发现早于这些披露：LANDFALL活动在2024年中期就已经活跃，在漏洞被修复前数月就利用了Android/三星的零日漏洞（CVE-2025-21042）。” Unit 42报告中写道。

此攻击向量特别危险，因为除了通过消息渠道接收文件外，不需要用户执行明确操作。实际上，攻击者使用了暗示通过WhatsApp发送的文件名来利用三星漏洞。这些特别操纵的DNG文件包含一个ZIP压缩包，其中包含被提取并执行的库文件。

该恶意软件框架采用模块化设计，包含一个本地加载器（“b.so”）作为第一阶段（后门），以及一个用于权限提升和持久化的模块（通过操纵SELinux策略实现）。加载器还会读取一个加密配置文件，该文件定义了代理身份、命令与控制端点以及操作模式。

监控能力

一旦安装，LANDFALL提供完整的数据收集和监控能力。它可以控制麦克风和摄像头、拦截通话、收集通讯录联系人、短信、应用程序数据库和本地文件，并通过HTTPS连接将收集的材料发送到远程C2服务器。

防御建议

分析发现近期三星Galaxy设备是首选目标（S22、S23、S24、Z Flip4和Z Fold4），报告显示地理重点集中在中东和北非地区。尽管没有公开证据表明LANDFALL活动直接针对意大利用户，但攻击向量、Galaxy设备的广泛分布以及代码可能被第三方组织获取，使得该框架的变体或重用很可能在欧洲出现。

因此建议：验证三星设备上的安全补丁状态，监控Unit 42发布的任何入侵指标，并将此场景纳入威胁情报和事件响应活动中。

趋势分析

LANDFALL代表了传统上被认为无害的格式如何变成高级攻击向量的例子。使用DNG图像作为攻击载体并非孤立事件，反映了更广泛的趋势，即多媒体格式被用来绕过传统控制措施。在其他移动生态系统中也观察到了类似的漏洞，强化了这种攻击是利用保护不足的多媒体处理库的操作模式的一部分。

虽然没有官方认定任何组织对此负责，但Unit 42观察到证据与知名组织Stealth Falcon有相似之处。