B站影视

首页 > 资讯信息 > 欧美电影

据悉,三星、苹果手机曝严重漏洞,成间谍软件重点目标

B站影视 欧美电影 2025-11-12 18:06 1

摘要:近日,Palo Alto Networks的Unit42安全研究团队披露,三星Galaxy安卓手机中一个零日漏洞在野外被黑客积极利用。攻击者利用该漏洞在定向攻击中植入一款名为“LANDFALL”的商业级安卓间谍软件,可在用户毫无察觉的情况下实施(零点击)攻击。

近日,Palo Alto Networks的Unit42安全研究团队披露,三星Galaxy安卓手机中一个零日漏洞在野外被黑客积极利用。攻击者利用该漏洞在定向攻击中植入一款名为“LANDFALL”的商业级安卓间谍软件,可在用户毫无察觉的情况下实施(零点击)攻击。

此次攻击的核心是CVE-2025-21042漏洞,这是一个存在于三星设备 “libimagecodec.quram.so” 图像编解码库组件中的越界写入(out-of-bounds write)缺陷。该漏洞的CVSS评分为8.8(高危),允许远程攻击者通过发送特制的图像文件,在目标设备上执行任意代码。

Unit42确认:“在三星于2025年4月发布补丁之前,该漏洞已在野外被积极利用。”

值得注意的是,这并非该组件首次出现问题。三星在2025年9月曾披露,同一库中的另一个高危漏洞(CVE-2025-21043)也曾被作为零日漏洞在野外利用。这表明该图像处理库已成为攻击者(尤其是间谍软件供应商)的重点研究目标。

商业级间谍软件分析:LANDFALL 的“精准狙击”

攻击者利用CVE-2025-21042漏洞植入的载荷是一款名为LANDFALL的商业级安卓间谍软件。

功能全面:一旦安装,LANDFALL就会变成一个强大的间谍工具,能够窃取海量的敏感数据,包括:

麦克风录音设备地理位置照片、联系人、短信和文件通话记录

目标明确:该间谍软件并非大规模无差别传播,而是专门针对三星的高端旗舰机型,包括GalaxyS22、S23、S24系列,以及ZFold4和ZFlip4。

地域性:根据VirusTotal的提交数据分析,此次活动的潜在目标(跟踪为CL-UNK-1054)主要位于伊拉克、伊朗、土耳其和摩洛哥等中东国家。

研究人员对LANDFALL的攻击链进行了深入分析,揭示了其复杂的利用手法。

1. 投递载体:伪装的DNG图像攻击评估涉及通过WhatsApp发送恶意图像。这些图像是DNG文件,但可能被伪装成常见的 .jpeg或.jpg格式(例如 "WhatsApp Image2025-02-10at4.54.17PM.jpeg")。LANDFALL的样本最早可以追溯到2024年7月23日。

2. 零点击?:Unit42指出,攻击链可能采用了“零点击”(zero-click)方式,即使用户不进行任何交互,只要收到图像就可能触发漏洞。但目前没有明确证据表明存在未知的WhatsApp漏洞来支持这一假设。

3. 漏洞触发与执行恶意的DNG文件在文件末尾附加了一个嵌入式的ZIP压缩包。当三星设备尝试处理这个畸形的DNG图像时,CVE-2025-21042漏洞被触发。

4. 权限提升与持久化漏洞利用成功后,会从ZIP压缩包中提取两个关键的共享对象库(.so文件):

加载器 (.so):负责运行LANDFALL间谍软件的主体,并与C2(命令与控制)服务器建立HTTPS连接,进入信标循环(beaconing loop)并等待接收下一阶段的攻击载荷。

SELinux策略操纵器 (.so): 这是一个更为隐蔽且危险的组件。它被设计用于操纵设备的SELinux策略,旨在为LANDFALL授予(正常应用无法获得的)更高权限,并帮助其在设备上实现持久化驻留。

目前,尚不清楚谁是LANDFALL间谍软件或此次攻击行动的幕后黑手。

然而,Unit42发现LANDFALL的C2基础设施和域名注册模式,与另一个知名的威胁行为体Stealth Falcon(又名FruityArmor)的模式相吻合(dovetail)。尽管如此,截至2025年10月,尚未检测到两者之间存在直接的重叠。

此事件并非孤立。研究结果表明,LANDFALL的交付很可能是更广泛的“DNG 漏洞利用浪潮”的一部分。几乎在同一时间,一个针对iPhone设备的复杂攻击链也被披露,该攻击同样利用了DNG图像处理缺陷(CVE-2025-43300),并结合了WhatsApp的漏洞(CVE-2025-55177)。

Palo Alto Networks的研究员Itay Cohen表示,由于三星已在2025年4月修复了CVE-2025-21042,他们不认为这个特定的漏洞利用仍在被使用。

然而,警报并未完全解除。Cohen 指出:“在8月和9月,我们观察到影响三星和iOS设备的相关漏洞利用链仍然活跃,这表明类似的攻击活动直到最近仍在持续。一些可能与LANDFALL相关的基础设施也仍处于在线状态,这可能暗示着同一伙攻击者正在进行持续或后续的活动。”

GoUpSec认为,此事件再次凸显了移动设备操作系统和复杂文件格式(如 DNG)处理库已成为高级威胁(特别是商业间谍软件)的首要目标。对于所有三星用户而言,立即检查并确保您的设备已更新到2025年4月及之后发布的所有安全补丁,是抵御此类威胁的最关键步骤。

来源:老李讲安全

免责声明:本站系转载,并不代表本网赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题,请在30日内与本站联系,我们将在第一时间删除内容!
相关推荐