Vulnerabilidade em Telefones Samsung
Antes do patch de abril de 2025, os telefones da Samsung apresentavam uma vulnerabilidade em sua biblioteca de processamento de imagens. Este é considerado um ataque de “zero-click”, pois o usuário não precisa iniciar nenhuma ação. Quando o sistema processa a imagem maliciosa para exibição, ele extrai arquivos da biblioteca de objetos compartilhados do arquivo ZIP para executar o spyware conhecido como Landfall. O software malicioso também modifica a política SELinux do dispositivo, concedendo ao Landfall permissões expandidas e acesso a dados sensíveis.
Como a Vulnerabilidade é Explorada
Os arquivos infectados parecem ter sido entregues aos alvos por meio de aplicativos de mensagens, como o WhatsApp. A equipe da Unit 42 observa que o código do Landfall faz referência a vários modelos específicos de telefones Samsung, incluindo o Galaxy S22, Galaxy S23, Galaxy S24, Galaxy Z Flip 4 e Galaxy Z Fold 4. Uma vez ativado, o Landfall contata um servidor remoto com informações básicas do dispositivo. Os operadores do spyware podem, então, extrair uma quantidade significativa de dados, como IDs de usuário e hardware, aplicativos instalados, contatos, quaisquer arquivos armazenados no dispositivo e histórico de navegação. O spyware também é capaz de ativar a câmera e o microfone para espionar o usuário.
Dificuldades na Remoção do Spyware
A remoção do spyware não é uma tarefa simples. Devido à sua capacidade de manipular políticas SELinux, o Landfall pode se infiltrar profundamente no software do sistema. Além disso, ele inclui várias ferramentas que ajudam a evitar a detecção. Com base nas submissões ao VirusTotal, a Unit 42 acredita que o Landfall esteve ativo em 2024 e no início de 2025 em países como Iraque, Irã, Turquia e Marrocos. A vulnerabilidade pode ter permanecido presente no software da Samsung desde o Android 13 até o Android 15, conforme sugestão da empresa.
Relação com Spywares Industriais
A Unit 42 aponta que várias nomenclaturas e respostas de servidores compartilham semelhanças com spywares industriais desenvolvidos por grandes empresas de ciberinteligência, como o NSO Group e a Variston. No entanto, não é possível vincular diretamente o Landfall a nenhum grupo específico. Embora este ataque tenha sido altamente direcionado, os detalhes agora estão amplamente disponíveis, o que pode permitir que outros agentes de ameaça utilizem métodos semelhantes para acessar dispositivos não corrigidos. Qualquer usuário que possua um telefone Samsung suportado deve garantir que esteja com o patch de abril de 2025 ou posterior instalado para proteger seu dispositivo.