8 Minuter
Samsung Galaxy-telefoner blev tyst riktade av ett avancerat spionprogram som gömde sig i bildfiler i nästan ett år innan en varaktig lösning rullades ut brett. Angreppet utnyttjade en noll‑dagars sårbarhet i Samsungs bildbehandlingsbibliotek och gav operatörer djup åtkomst till offerens enheter utan att användaren behövde klicka på någonting. Denna incident visar hur kritiska programbibliotek för bildhantering och Android-säkerhet kan bli mål för riktade cyberspionagekampanjer.
How the exploit worked and what LANDFALL did
Säkerhetsforskare spårade kampanjen till en noll‑dagars sårbarhet i Samsungs Android-bildbehandlingsbibliotek (CVE-2025-21042). Angripare bäddade in spionprogrammet LANDFALL i felaktigt formaterade DNG‑bildfiler; de korrupta bilderna var noggrant konstruerade för att utnyttja bibliotekssårbarheten när telefonen försökte avkoda eller förhandsgranska dem. Det här enda, tysta stadiet — att systemet automatiskt tolkade eller gjorde en miniatyrbild av filen — var tillräckligt för att exekvera skadlig kod.
När LANDFALL väl var installerat erbjöd det omfattande övervakningsfunktioner: liveinspelning från mikrofonen, avlyssning av samtal, GPS‑spårning, tillgång till foton, meddelanden, kontakter, samtalsloggar och webbhistorik. Spionprogrammet var dessutom designat för att undvika upptäckt — det överlevde omstarter, dolde sig för vanliga antiviruskontroller och kunde utföra sina uppgifter utan uppenbara symtom för användaren. Sådana tekniker för uthållighet och stealth är typiska för sofistikerad spyware riktad mot journalister, aktivister och utvalda individer i geopolitisk kontext.
Flödesschema för LANDFALL‑spionprogrammet
Targets, timeline and platform scope
Palo Alto Networks Unit 42 rapporterade att LANDFALL användes i riktade spionagekampanjer som var aktiva från mitten av 2024, månader innan Samsung släppte en korrigering i april 2025. Attackerna distribuerades inte i stor skala utan var fokuserade på specifika individer, framför allt i delar av Mellanöstern — inklusive Turkiet, Iran, Irak och Marocko. Denna geografiska inriktning pekar på målinriktade hotaktörer som anpassar payloads efter regionala behov och språk.
Enheter som identifierats som drabbade inkluderar familjerna Galaxy S22, S23 och S24, samt modellerna Z Fold 4 och Z Flip 4. Det är viktigt att notera att tidiga rapporter indikerar att Galaxy S25‑serien inte var föremål för dessa attacker, vilket kan bero på förändringar i bildbibliotekets implementation eller att angriparna inte uppdaterade sina verktyg för nyare modeller.
Efter den första patchen för CVE‑2025‑21042 i april 2025 åtgärdade Samsung senare en separat imaging‑library noll‑dag (CVE‑2025‑21043) i september 2025, vilket understryker att flera relaterade problem upptäcktes och åtgärdades över tid. Meta, WhatsApps moderbolag, har offentligt uttalat att de inte funnit bevis för att WhatsApp självt levererat exploit‑kedjan, trots initiala rapporter om att skadliga DNG‑filer skickats via meddelandeplattformar. Detta är en viktig distinktion: leverans via messaging‑appar är en möjlig vektor, men den underliggande nyckeln var bildbibliotekets automatiska hantering av inkommande filer.
Why this mattered — and why no clicks were needed
Kampanjen belyser en farlig trend: bibliotek för medieparsing är ett frekvent angreppsyta eftersom de måste hantera många komplexa och ibland proprietära format. DNG och andra råbildsformat bär stora mängder metadata och komplex struktur, vilket gör att även små fel i parsern kan leda till minnesöverflöden eller andra tillstånd som möjliggör fjärrkörning av kod (RCE). En noggrant manipulerad bildfil kan trigga exekvering under automatisk bearbetning — till exempel när operativsystemet eller en app genererar förhandsvisningar, småbilder eller extraherar metadata.
Det betyder att användaren inte behövde öppna eller trycka på något för att bli komprometterad. I många moderna mobilkonfigurationer hanterar system och appar inkommande medier automatiskt för att förbättra användarupplevelsen: meddelandeappar kan generera miniatyrer, filhanterare kan skanna filer, och operativsystemet kan indexera bilder för snabbåtkomst. Om en sårbar parser exekveras i den här kedjan räcker det att filen tas emot eller sparas i ett bibliotek för att attacken ska lyckas. Denna typ av attack kallas ibland för "zero click"‑exploitation och är särskilt farlig eftersom det minimerar chansen för användaren att upptäcka något misstänkt.
Tekniskt sett involverar sådana kedjor ofta flera steg: filen skickas till en app eller systemprocess, parsern försöker läsa strukturen eller metadata, en skrivning eller läsning överträffar gränser i minnet, och en angripare kan då styra instruktioner eller hopp i programflödet för att ladda och exekvera en payload. Kombinationen av noll‑dagars sårbarheter, sofistikerad payload‑design och automatiska processer gör mediebehandling till en kritisk komponent i modern mobil säkerhet.
Practical steps to protect your Galaxy
- Installera uppdateringar: Se till att din enhet har Android‑säkerhetsuppdateringen från april 2025 eller senare (och alla efterföljande Samsung‑patchar). Regelbundna uppdateringar är den mest effektiva skyddsåtgärden mot kända CVE‑sårbarheter.
- Inaktivera automatisk nedladdning/förhandsvisning: Stäng av automatisk media‑nedladdning och automatisk förhandsvisning i meddelandeappar som WhatsApp och Telegram. Detta minskar risken att telefonen automatiskt processar skadliga DNG‑ eller andra bildfiler.
- Använd hårdare skyddslägen: Aktivera Androids Advanced Protection eller, på iOS, Lockdown Mode om du tillhör en högre riskgrupp. Sådana lägen begränsar funktioner som kan utnyttjas och ger ett extra skyddsskikt för känsliga användare, journalister och aktivister.
- Begränsa appbehörigheter: Återkalla onödig åtkomst till mikrofon, plats och lagring för appar som inte behöver dem. Genom att minimera privilegier minskar du ytan som en potentiell komprometterad app kan utnyttja.
- Övervaka ovanligt beteende: Följ tecken på kompromiss: oförklarlig batteritappning, konstig nätverkstrafik, plötsliga förändringar i appbeteende, okända processer eller ökade dataöverföringar. Dessa kan vara indikatorer på att spyware är aktivt.
- Använd säkerhetslösningar med beteendeanalys: Överväg att använda mobil‑endpoint‑säkerhet som fokuserar på beteendedetektion och integritetsskydd, särskilt i en företagsmiljö eller för användare med höga risker.
- Utbildning och rutiner: Implementera rutiner för att hantera okända filer även om de kommer från betrodda kontakter — verifiera oväntade bilagor via separat kanal och undvik att öppna okända filtyper på mobila enheter.
Sammanfattningsvis: uppdatera din enhet omedelbart, stoppa automatisk nedladdning av okänd media och behandla oväntade filer — även från kontakter — med försiktighet. LANDFALL‑episoden är en tydlig påminnelse om att vardagliga funktioner som bildförhandsvisningar kan bli angreppspunkter när sårbarheter finns i kärnbibliotek. För både privatpersoner och organisationer är en kombination av snabba säkerhetsuppdateringar, begränsade behörigheter, medveten användning och avancerade säkerhetsverktyg det bästa försvarssättet mot riktade spionprogram och noll‑dagarsattacker.
Ytterligare tekniska insikter: För de som vill förstå exploit‑kedjan djupare är det viktigt att analysera hur DNG‑formatets struktur utnyttjades. DNG (Digital Negative) är ett råbildsformat med ett komplext metadata‑ och taggsystem. Sårbarheter kan uppstå i hanteringen av tagglängder, offsets eller i komprimeringsalgoritmer som används för bilddata. Vid forensiska analyser bör experter söka efter tecken på modifierade EXIF‑fält, ovanliga instanser av enkla minnesöverflöden, samt misstänkta processstarter i samband med bildhanteringstjänster. Dessa indikatorer kan peka ut en möjlig LANDFALL‑infektion eller liknande attacker.
I en organisatorisk kontext bör IT‑chefer och säkerhetsteam utvärdera enhetspolicyer för automatisk filhantering, använda mobila enhetshanteringssystem (MDM) för att enforcea restriktioner och säkerställa att alla enheter får snabba OTA‑uppdateringar. Logghantering och nätverksövervakning kan också identifiera asymmetriska trafikmönster som indikerar fjärrstyrd dataexfiltrering.
Slutligen, för dem som är oroliga över målprofil: riktade spionprogram som LANDFALL tenderar att fokusera på individer med politisk, journalistisk eller aktivistisk betydelse, men även affärs- och forskningsmål kan vara utsatta. Att följa bästa praxis för mobil säkerhet och hålla sig informerad om publicerade CVE‑rapporter och leverantörsuppdateringar är grundläggande för att minska risken.
Källa: phonearena
Lämna en kommentar