تیم Unit 42 از شرکت Palo Alto Networks یک جاسوسافزار جدید اندرویدی به نام LANDFALL را شناسایی کرده که با سوءاستفاده از آسیبپذیری روز صفر CVE-2025-21042 در کتابخانه پردازش تصویر سامسونگ، توانسته دستگاههای Galaxy را آلوده کند.
این کمپین از اواسط سال ۲۰۲۴ فعال بوده و کاربران خاورمیانه را هدف قرار داده است. مهاجمان فایلهای تصویر DNG (Digital Negative) آلوده را از طریق WhatsApp ارسال میکردند، که با باز شدن یا حتی پیشنمایش آنها، بدون نیاز به هیچ کلیکی (Zero-Click) جاسوسافزار فعال میشد و کنترل کامل دستگاه را در اختیار مهاجم قرار میداد.
جزئیات فنی حمله
فرمت DNG نوعی تصویر خام مبتنی بر TIFF است. مهاجمان یک فایل ZIP حاوی Payload بدافزاری را در انتهای فایل DNG جاسازی کرده بودند و با بهرهگیری از نقص در کتابخانه libimagecodec.quram.so (ماژول اختصاصی سامسونگ برای decode تصاویر)، کد مخرب را اجرا میکردند.
«فایلهای DNG مخرب حاوی آرشیو ZIP تعبیهشدهای هستند که در انتهای فایل قرار گرفته… بررسی ما نشان میدهد این فایلها از آسیبپذیری CVE-2025-21042 در کتابخانه libimagecodec.quram.so سوءاستفاده میکنند که سامسونگ آن را در آوریل ۲۰۲۵ وصله کرده است.»
این نقص باعث میشد تنها با باز کردن یا مشاهدهی پیشنمایش تصویر، کتابخانه سامسونگ بهصورت خودکار فایلهای .so را از ZIP استخراج و اجرا کند. بنابراین آلودگی بدون هیچ تعامل کاربر رخ میداد؛ مشابه با روشهای مورد استفاده توسط جاسوسافزارهای سطح بالا نظیر Pegasus و Predator.
عملکرد جاسوسافزار LANDFALL
LANDFALL بهعنوان یک جاسوسافزار در سطح تجاری طراحی شده و مدلهای Galaxy S22, S23, S24, Z Fold4, Z Flip4 را هدف گرفته است. پس از نصب، مهاجم به طیف گستردهای از قابلیتهای نظارتی دسترسی پیدا میکرد:
-
ضبط صدا از میکروفون و تماسها
-
ردیابی موقعیت جغرافیایی (GPS Tracking)
-
جمعآوری تصاویر، پیامها، تماسها و دفترچه مخاطبین
-
دسترسی به دادههای برنامهها و فایلهای WhatsApp
-
تشخیص ابزارهای تحلیل و دیباگ مانند Frida و Xposed برای جلوگیری از شناسایی
ماژول اصلی LANDFALL با نام b.so بهعنوان Loader و ماژول دوم l.so برای دستکاری SELinux policies و ماندگاری در سیستم عمل میکرد.
«LANDFALL به مهاجم امکان نظارت کامل، ضبط محیط، جمعآوری دادهها و کنترل سطح پایین دستگاه را میدهد.»
زیرساخت و ارتباطات
جاسوسافزار از طریق HTTPS روی پورتهای موقتی (Ephemeral TCP Ports) با سرورهای C2 خود ارتباط برقرار میکرد و دادهها را بهصورت JSON رمزگذاریشده ارسال میکرد.
«ماژول b.so با ارسال درخواست POST حاوی شناسه دستگاه، کلیدهای پیکربندی و وضعیت عامل، ارتباط را آغاز میکند.»
تحلیلها شش دامنه فعال C2 از جمله
brightvideodesigns[.]com و healthyeatingontherun[.]com را شناسایی کردهاند که آدرس IP آنها در اروپا و خاورمیانه قرار داشته است.
بر اساس دادههای VirusTotal، نمونههای آلوده از کشورهای عراق، ایران، ترکیه و مراکش ارسال شدهاند که نشان از عملیات جاسوسی منطقهای دارد. مرکز USOM ترکیه (CERT ملی) نیز آدرسهای مرتبط با LANDFALL را بهعنوان زیرساخت مرتبط با APT موبایلی علامتگذاری کرده است.
منشأ احتمالی و شباهتها
هنوز انتساب دقیق این حمله تأیید نشده، اما در کد LANDFALL عبارت “Bridge Head” در بخش دیباگ دیده شده که پیشتر توسط شرکتهای جاسوسافزار تجاری مانند NSO Group، Variston، Cytrox و Quadream استفاده شده است.
علاوه بر این، سبک عملیات و زیرساخت LANDFALL با گروه Stealth Falcon – منتسب به امارات متحده عربی – شباهت قابل توجهی دارد؛ گروهی که سابقهی استفاده از ابزارهای جاسوسی پیشرفته برای کنترل مخالفان در خاورمیانه را دارد.
یک نظر