نرم افزار جاسوسی LANDFALL از CVE-2025-21042 روز صفر سامسونگ در حملات خاورمیانه سوء استفاده کرد

نرم افزار جاسوسی LANDFALL از CVE-2025-21042 روز صفر سامسونگ در حملات خاورمیانه سوء استفاده کرد

پیرلوئیجی پاگانینی
07 نوامبر 2025

نقصی که اکنون وصله شده سامسونگ گلکسی با نام CVE-2025-21042 ردیابی می شود، به عنوان روز صفر برای استقرار نرم افزارهای جاسوسی LANDFALL در حملات هدفمند در خاورمیانه مورد سوء استفاده قرار گرفت.

سامسونگ برای استقرار نرم افزارهای جاسوسی LANDFALL بر روی دستگاه های گلکسی در حملات خاورمیانه، نقصی را که به عنوان روز صفر مورد سوء استفاده قرار می گرفت، به عنوان CVE-2025-21042 (امتیاز CVSS 8.8) ردیابی کرد.

“محققان واحد 42 خانواده نرم افزارهای جاسوسی اندرویدی را که قبلا ناشناخته بود، کشف کرده اند که ما آن را LANDFALL نام گذاری کرده ایم. برای ارائه این جاسوس افزار، مهاجمان از یک آسیب پذیری روز صفر (CVE-2025-21042) در کتابخانه پردازش تصویر اندروید سامسونگ سوء استفاده کردند.” را می خواند گزارش دهید منتشر شده توسط Palo Alto Networks Unit 42. “نقص خاصی که LANDFALL مورد سوء استفاده قرار گرفت، CVE-2025-21042، یک مورد مجزا نیست، بلکه بخشی از یک الگوی گسترده تر از مسائل مشابه است که در چندین سیستم عامل تلفن همراه یافت می شود.”

محققان تأیید کردند که این آسیب‌پذیری ماه‌ها قبل از اینکه سامسونگ آن را در آوریل 2025 وصله کند، به طور فعال در طبیعت مورد سوء استفاده قرار گرفته است.

کمپین LANDFALL که با نام CL-UNK-1054 دنبال می‌شود، بدافزار را در فایل‌های تصویری DNG که از طریق واتس‌اپ ارسال می‌شد پنهان می‌کرد. LANDFALL یک نرم افزار جاسوسی اندروید است که دستگاه های گلکسی سامسونگ را در خاورمیانه هدف قرار می دهد.

این بدافزار نظارت با کلیک صفر را برای ضبط صدا، ردیابی مکان و سرقت داده ها فعال می کرد. این کمپین که ماه‌ها فعال بود، تاکتیک‌ها و زیرساخت‌ها را با عملیات جاسوس‌افزارهای تجاری خاورمیانه به اشتراک می‌گذاشت و پیوندهایی را به بازیگران تهاجمی بخش خصوصی (معروف به PSOA) پیشنهاد می‌کرد.

سامسونگ در سپتامبر 2025 فاش کرد که یک نقص کتابخانه تصویر جداگانه، به عنوان ردیابی شده است CVE-2025-21043، در طبیعت مورد بهره برداری قرار گرفته بود، اما محققان هیچ مدرکی مبنی بر استفاده LANDFALL از این باگ پیدا نکردند. کمپین های LANDFALL تصاویر مخرب DNG را اغلب از طریق واتس اپ ارائه کردند و محققان نمونه ها را حداقل تا 23 ژوئیه 2024 (نام فایل هایی مانند IMG-20240723-WA0000.jpg) ردیابی کردند. این نرم افزار جاسوسی از یک روز صفر سامسونگ (CVE-2025-21042) در زنجیره احتمالی صفر کلیک برای نصب خود بدون تعامل کاربر سوء استفاده کرد. پس از فعال شدن،

محققان این کمپین را در حین بررسی یک ناهنجاری کشف کردند فایل های تصویری DNG.

“فایل‌های تصویری DNG بد شکلی که ما کشف کردیم دارای یک آرشیو ZIP تعبیه‌شده هستند که به انتهای فایل اضافه شده است. شکل 1 یکی از این نمونه‌ها را در یک ویرایشگر هگز نشان می‌دهد، که نشان می‌دهد محتوای آرشیو ZIP از کجا شروع می‌شود، نزدیک به انتهای فایل.” گزارش را ادامه می دهد. «تحلیل ما نشان می‌دهد که این فایل‌های DNG از CVE-2025-21042، یک آسیب‌پذیری در کتابخانه پردازش تصویر سامسونگ libimagecodec.quram. سوء استفاده می‌کنند. سامسونگ در آوریل 2025 وصله شد. این اکسپلویت فایل های کتابخانه اشیاء مشترک (.so) را از آرشیو ZIP تعبیه شده استخراج می کند تا نرم افزار جاسوسی LANDFALL را اجرا کند. شکل 2 زیر فلوچارت این نرم افزار جاسوسی را نشان می دهد.

محموله دو جزء را کاهش می دهد: b.so، درب پشتی اصلی (“سر پل”)، و l.soیک دستکاری کننده خط مشی SELinux که امتیازات ریشه و ماندگاری را اعطا می کند.

پس از استقرار، LANDFALL می‌تواند تماس‌ها و صداها را ضبط کند، عکس‌ها، پیام‌ها، فایل‌ها و داده‌های سیستم را استخراج کند و بر فعالیت WhatsApp نظارت کند. این روش از تکنیک‌های فرار پیشرفته مانند دیباگر و تشخیص چارچوب، اصلاح SELinux و پین کردن گواهی برای C2 ایمن از طریق HTTPS استفاده می‌کند.

این نرم افزار جاسوسی مدل های پرچمدار (Galaxy S22–S24، Fold4، Flip4) را هدف قرار می دهد و با شش سرور شناخته شده C2 ​​در سراسر اروپا ارتباط برقرار می کند. محققان آن را به موج گسترده‌تری از سوء استفاده‌های کلیک صفر مبتنی بر DNG مرتبط می‌کنند که بر پلتفرم‌های اندروید و iOS تأثیر می‌گذارد و بر تهدید رو به رشد آسیب‌پذیری‌های پردازش تصویر در جاسوسی تلفن همراه تأکید می‌کند.

تجزیه و تحلیل داده های ارسالی VirusTotal نشان داد که اهداف بالقوه این کمپین در عراق، ایران، ترکیه و مراکش هستند.

محققان نمی‌توانند این کمپین را به یک عامل تهدید خاص نسبت دهند، با این حال، محققان واحد 42 زیرساخت‌های C2 و الگوهای دامنه آن را شبیه به الگوهای شاهین مخفی (معروف به FruityArmor، اگرچه هیچ پیوند مستقیمی تا اکتبر 2025 تأیید نشده است.

از زمان ظهور اولیه نمونه‌ها در جولای 2024، این فعالیت نشان می‌دهد که چگونه اکسپلویت‌های پیچیده می‌توانند برای مدت طولانی در مخازن عمومی باقی بمانند، قبل از اینکه به طور کامل درک شوند. گزارش را به پایان می رساند. “تحلیل لودر شواهدی از فعالیت در سطح تجاری را نشان می دهد. اجزای جاسوس افزار LANDFALL قابلیت های پیشرفته ای را برای مخفی کاری، ماندگاری و جمع آوری اطلاعات جامع از دستگاه های مدرن سامسونگ نشان می دهد.”

من را در توییتر دنبال کنید: @securityaffairs و فیس بوک و ماستودون