Redazione RHC:9 Novembro 2025 09:19
Pesquisadores na Unidade 42 da Palo Alto Networks descobriram um nova família de spyware para Android, anteriormente desconhecida Chamado LANDFALL . Para espalhá-lo, agentes mal-intencionados exploraram um vulnerabilidade de dia zero (CVE-2025-21042) No Biblioteca de processamento de imagens do Android construído em Samsung Dispositivos.
Esta falha não é um caso isolado, mas sim parte de um padrão recorrente de vulnerabilidades semelhantes encontrado em várias plataformas móveis. CVE-2025-21042 Foi Explorado ativamente em ataques do mundo real (in-the-wild) antes de sua correção, lançada pela Samsung em Abril de 2025 , na sequência de relatórios iniciais de compromisso. No entanto, nem o exploit nem o associado spyware comercial já haviam sido analisado ou documentado publicamente .
LANDFALL foi distribuído via arquivos de imagem maliciosos no formato DNG presumivelmente enviado via WhatsApp .
A técnica usada se assemelha muito a um cadeia de exploração que envolvia Apple e WhatsApp em Julho 2025 , bem como uma segunda campanha observada em setembro, ligada à CVE-2025-21043 vulnerabilidade. É importante notar que nenhuma vulnerabilidade anteriormente desconhecida no WhatsApp foi identificada durante a investigação.
Um aspecto crucial é que o Campanha LANDFALL Foi ativo já em meados de 2024 , meses antes de as outras vulnerabilidades serem divulgadas publicamente . O spyware explorou a vulnerabilidade de dia zero do Android/Samsung CVE-2025-21042 bem antes de ser corrigido.
A falha foi corrigido até abril de 2025 , eliminando o risco para os usuários existentes da Samsung. Posteriormente, em setembro, A Samsung corrigiu uma vulnerabilidade adicional de dia zero (CVE-2025-21043) na mesma biblioteca de processamento de imagens, Reforçar a proteção contra este tipo de exploração .
A análise da Unidade 42 fornece Visibilidade rara de uma operação avançada de spyware que permaneceu ativo e não detectado por meses , oferecendo informações importantes sobre abusos que ocorreram antes de as vulnerabilidades serem corrigidas.
Redação
A equipe editorial da Red Hot Cyber é composta por um grupo de indivíduos e fontes anônimas que colaboram ativamente para fornecer informações e notícias antecipadas sobre segurança cibernética e computação em geral.