Sự cố bảo mật được vá vào tháng 4/2025, nhưng các nhà nghiên cứu đã tìm thấy bằng chứng cho thấy hoạt động LandFall diễn ra ít nhất từ ​​tháng 7/2024 và nhắm mục tiêu vào một số người dùng Samsung Galaxy ở Trung Đông.

Với mã định danh CVE-2025-21042, lỗ hổng zero-day này là một lỗi ghi ngoài giới hạn trong libimagecodec.quram.so và được xếp hạng mức độ nghiêm trọng. Kẻ tấn công từ xa khai thác thành công lỗ hổng có thể thực thi mã tùy ý trên thiết bị mục tiêu.

Theo các nhà nghiên cứu tại hãng bảo mật Palo Alto Networks, phần mềm gián điệp LandFall có khả năng là một framework giám sát thương mại được sử dụng trong các cuộc xâm nhập có chủ đích. Các cuộc tấn công bắt đầu bằng việc gửi một tệp hình ảnh thô định dạng .DNG bị lỗi kèm theo tệp nén .ZIP ở cuối tệp.

Hình 1. ZIP nhúng trong tệp hình ảnh

Các nhà nghiên cứu đã thu thập và kiểm tra các mẫu được gửi đến VirusTotal bắt đầu từ ngày 23/7/2024, chỉ ra WhatsApp là kênh phân phối, dựa trên tên tệp được sử dụng.

Về mặt kỹ thuật, DNG nhúng hai thành phần chính: loader (b.so) có thể truy xuất và tải các mô-đun bổ sung, cùng với trình driver SELinux (l.so), sửa đổi cài đặt bảo mật trên thiết bị để leo thang quyền và duy trì tính bền vững.

Hình 2. Luồng hoạt động của LandFall

Theo các nhà nghiên cứu, LandFall có thể lấy fingerprint của thiết bị dựa trên phần cứng và ID SIM (IMEI, IMSI, số thẻ SIM, tài khoản người dùng, Bluetooth, dịch vụ định vị hoặc danh sách các ứng dụng đã cài đặt).

Tuy nhiên, các khả năng bổ sung được quan sát thấy bao gồm thực thi các mô-đun, duy trì tính bền bỉ, tránh bị phát hiện và vượt qua các biện pháp bảo vệ. Trong số các tính năng do thám, phần mềm độc hại này có khả năng đáng chú ý sau: ghi âm bằng micrô; ghi âm cuộc gọi; theo dõi vị trí; truy cập ảnh, danh bạ, tin nhắn SMS, nhật ký cuộc gọi và tệp; truy cập lịch sử duyệt web.

Theo phân tích, phần mềm gián điệp nhắm mục tiêu vào các thiết bị dòng Galaxy S22, S23 và S24, cũng như Z Fold 4 và Z Flip 4, bao gồm nhiều mẫu điện thoại hàng đầu mới nhất của Samsung, ngoại trừ các thiết bị S25 mới nhất.

Điều đáng chú ý, LandFall và việc sử dụng hình ảnh DNG là một trường hợp khai thác rộng rãi khác được phát hiện gần đây trong các công cụ phần mềm gián điệp thương mại. Trước đây đã từng có các chuỗi khai thác liên quan đến định dạng DNG dành cho Apple iOS, với CVE-2025-43300 và cả WhatsApp, với CVE-2025-55177.

Trong một diễn biến khác, Samsung cũng đã vá lỗ hổng CVE-2025-21043 gần đây, lỗi này cũng ảnh hưởng đến libimagecodec.quram.so sau khi các nhà nghiên cứu bảo mật của WhatsApp phát hiện và báo cáo.

Hình 3. Dòng thời gian khai thác lỗ hổng xử lý DMG

Dữ liệu từ các mẫu VirusTotal mà các nhà nghiên cứu kiểm tra cho thấy các mục tiêu tiềm năng có thể ở Iraq, Iran, Thổ Nhĩ Kỳ và Maroc. Các nhà nghiên cứu có thể xác định và liên kết sáu máy chủ điều khiển và ra lệnh (C2) với chiến dịch LandFall, một số trong số chúng đã bị CERT của Thổ Nhĩ Kỳ đánh dấu là có hoạt động độc hại.

Mô hình đăng ký tên miền C2 và cơ sở hạ tầng có nhiều điểm tương đồng với hoạt động của Stealth Falcon, có nguồn gốc từ Các Tiểu vương quốc Ả Rập Thống nhất (UAE). Một manh mối khác là việc sử dụng tên “Bridge Head” cho thành phần loader, một quy ước đặt tên thường thấy trong các sản phẩm của NSO Group, Variston, Cytrox và Quadream.

Tuy nhiên, LandFall không thể được liên kết chắc chắn với bất kỳ nhóm đe dọa hoặc nhà cung cấp phần mềm gián điệp nào được biết đến.

Để bảo vệ khỏi các cuộc tấn công phần mềm gián điệp, người dùng nên áp dụng các bản cập nhật bảo mật cho hệ điều hành và ứng dụng di động ngay lập tức, lưu ý tắt tính năng tự động tải xuống media trên các ứng dụng nhắn tin và cân nhắc kích hoạt Advanced Protection trên Android và Lockdown Mode đối với iOS.