کشف اکسپلویت روز صفر در Samsung برای استقرار جاسوسافزار LANDFALL
یک آسیبپذیری امنیتی بحرانی و اکنون پَچشده در دستگاههای Samsung Galaxy بهعنوان Zero-Day برای گسترش یک جاسوسافزار سطح بالا به نام LANDFALL در حملات هدفمند خاورمیانه مورد سوءاستفاده قرار گرفته است.
این کمپین توسط تیم Unit 42 شرکت Palo Alto Networks شناسایی و تحلیل شده است.
🔍 جزئیات فنی آسیبپذیری
| شناسه CVE | شدت (CVSS) | نوع نقص | محل آسیبپذیری | قابلیت اکسپلویت |
|---|---|---|---|---|
| CVE-2025-21042 | 8.8 (High) | Out-of-Bounds Write | libimagecodec.quram.so | اجرای کد از راه دور (RCE) |
🔹 این باگ به مهاجم امکان اجرای کد دلخواه از راه دور را روی دستگاه فراهم میکند.
🔹 سامسونگ این آسیبپذیری را در آپریل ۲۰۲۵ پچ کرده اما پیش از انتشار پچ، بهطور فعال مورد سوءاستفاده قرار گرفته است.
🔹 سامسونگ در سپتامبر ۲۰۲۵، باگ دیگری در همین کتابخانه با شناسه CVE-2025-21043 نیز گزارش کرده که Zero-Day بوده، اما شواهدی از استفاده آن در کمپین LANDFALL وجود ندارد.
🎯 اهداف حمله
بر اساس دادههای VirusTotal، قربانیان بالقوه در کشورهای زیر شناسایی شدهاند:
🇮🇷 ایران
🇮🇶 عراق
🇹🇷 ترکیه
🇲🇦 مراکش
این فعالیت با کد رهگیری CL-UNK-1054 مشخص شده است.
🚀 بردار حمله: ارسال تصاویر مخرب از طریق WhatsApp
حملات با ارسال فایلهای تصویری DNG (Digital Negative) از طریق WhatsApp انجام شده است.
شواهد نشان میدهد نمونههای اولیه LANDFALL حداقل از ۲۳ جولای ۲۰۲۴ وجود داشتهاند، با نامهایی مانند:
WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg
IMG-20240723-WA0000.jpg
📌 تاکنون شواهد کافی برای اثبات حمله Zero-Click در WhatsApp بهصورت قطعی وجود ندارد، اما زنجیره اکسپلویت میتواند بالقوه بدون نیاز به تعامل کاربر (Zero-Click) اجرا شده باشد.
📱 مدلهای آسیبپذیر سامسونگ
جاسوسافزار LANDFALL دستگاههای زیر را هدف میگیرد:
Galaxy S22 / S23 / S24
Z Fold 4
Z Flip 4
(به جز نسل جدیدتر از این مدلها)
🧠 عملکرد جاسوسافزار LANDFALL
پس از آلودگی، بدافزار یک ابزار کامل جاسوسی است که میتواند موارد زیر را سرقت کند:
✅ ضبط میکروفن
✅ موقعیت مکانی (GPS)
✅ تصاویر ذخیرهشده
✅ مخاطبین
✅ پیامکها
✅ فایلها
✅ تماسها
ساختار LANDFALL ماژولار است و قابلیت دریافت Payloadهای اضافی از سرور C2 را دارد.
🧩 زنجیره بهرهبرداری چگونه عمل میکند؟
مهاجم یک تصویر DNG مخرب ارسال میکند.
فایل شامل یک ZIP مخفی شده در انتهای تصویر است.
اکسپلویت، کتابخانه Shared Object را استخراج و اجرا میکند.
یک ماژول دیگر، قوانین SELinux را تغییر داده تا بدافزار سطح دسترسی بالا و ماندگاری (Persistence) بگیرد.
ماژول اصلی با C2 ارتباط برقرار میکند و منتظر دریافت Payloadهای مرحله بعدی میماند.
🌐 ارتباط احتمالی با گروههای شناختهشده
تحلیل زیرساخت C2 نشان میدهد شباهتهایی با گروه Stealth Falcon (FruityArmor) وجود دارد، اما تاکنون ارتباط قطعی اثبات نشده است.
⏳ آیا این حمله همچنان فعال است؟
🔹 اکسپلویت CVE-2025-21042 دیگر استفاده نمیشود (به دلیل انتشار پچ سامسونگ)
🔹 اما کمپینهای مشابه برای iOS و Samsung تا سپتامبر و آگوست ۲۰۲۵ ادامه داشتهاند
🔹 برخی از زیرساختهای C2 مرتبط با LANDFALL همچنان فعال هستند
