ВПО Landfall и CVE-2025-21042: Анатомия Zero-Click атаки на Samsung Galaxy

Вредоносное ПО Landfall открывает новую главу в мобильном кибершпионаже. Его появление стало одним из самых обсуждаемых инцидентов в ИБ-сообществе.

Исследователи Unit 42 (Palo Alto Networks) зафиксировали использование критической уязвимости CVE-2025-21042, позволяющей компрометировать смартфоны Samsung. Злоумышленники использовали сложнейший вектор атаки — Zero-day и Zero-click эксплойт. Жертве достаточно было получить изображение в мессенджере, чтобы устройство перешло под контроль атакующих еще до открытия файла.

Разбираем технические детали атаки, механизмы эксплуатации и функциональность шпионского модуля.

Что такое Landfall: архитектура и цели

Landfall — это модульная APT-платформа (Advanced Persistent Threat) для Android, разработанная для скрытного кибершпионажа. Вредонос умеет закрепляться в системе (persistence), эксфильтровать чувствительные данные и выполнять команды в реальном времени. Архитектура Landfall построена по модульному принципу, где каждый компонент отвечает за свой вектор:

файловый граббер;
перехватчик сообщений и уведомлений;
трекер геолокации;
модуль аудиозаписи;
сетевой загрузчик.

Анализ кода и географии IP-адресов жертв указывает на точечное использование Landfall на Ближнем Востоке. Подобный профиль атаки характерен для проправительственных кибергруппировок, занимающихся слежкой за высокопоставленными целями.

Вектор заражения: как работает Zero-Click

Ключевая особенность кампании — отсутствие необходимости в фишинге или социальной инженерии. Инициация цепочки эксплойтов (exploit chain) происходила автоматически при доставке графического файла на устройство. Атака нацелена на этап препроцессинга медиафайлов (parser stage). Когда мессенджер или почтовый клиент получает изображение, система пытается извлечь метаданные (EXIF) и сгенерировать миниатюру (thumbnail). Именно в этот момент срабатывал вредоносный пейлоад. Справка: Ранее схожие техники применялись в нашумевших кампаниях Stagefright и Pegasus. Landfall подтверждает, что бесконтактная эксплуатация остается актуальным вектором для высокоуровневых угроз. Технический разбор CVE-2025-21042 Уязвимость CVE-2025-21042 классифицирована как критическая (RCE — Remote Code Execution). Она затрагивает проприетарные компоненты обработки изображений в экосистеме Samsung.

1. Уязвимый компонент

Проблема кроется в библиотеке, отвечающей за декодирование проприетарных форматов изображений или обработку тегов внутри оболочки One UI. Наиболее вероятная причина — переполнение кучи (heap buffer overflow) или целочисленное переполнение (integer overflow) при расчете размеров буфера для рендеринга превью.

2. Механизм bypass-взаимодействия

Современные Android-мессенджеры используют системные API для фоновой генерации превью. Уязвимость срабатывает в нативном коде библиотеки до того, как управление передается приложению для отображения картинки пользователю.

3. Этапы эксплуатации

Эксплойт Landfall реализует сложную последовательность действий:

Heap Feng Shui (Подготовка кучи): Манипуляция расположением объектов в памяти для обеспечения предсказуемой перезаписи.
Memory Corruption: Точечная перезапись указателей через переполнение буфера.
ROP-цепочки (Return-Oriented Programming): Обход защиты NX (No-Execute) путем построения цепочки из легитимных инструкций процессора для выполнения вредоносного кода.
Privilege Escalation: Выход из песочницы медиа-процесса и повышение привилегий до системного уровня для загрузки основного тела Landfall.

4. Сложность обнаружения

Детектирование атаки крайне затруднено:

Эксплуатация происходит внутри легитимных процессов mediaserver или аналогов.
Отсутствует подозрительный сетевой трафик на этапе доставки (файл приходит через легитимные каналы мессенджеров).
Landfall обладает функцией самоочистки (anti-forensics), удаляя артефакты первичного дроппера из логов.

Функциональность: возможности шпионажа

Получив системные права, Landfall разворачивает полный спектр функций слежения.

Эксфильтрация данных

Клонирование медиафайлов и документов.
Дамп баз данных популярных мессенджеров (WhatsApp, Telegram, Signal).
Выгрузка журналов вызовов, SMS и контактов с расширенными метаданными.
Трекинг перемещений (GPS/Network) в реальном времени.

Особую опасность представляет интеллектуальная запись звука: микрофон активируется по триггерам (например, начало разговора или нахождение в определенной геозоне).

Мониторинг окружения

Вредонос собирает данные о состоянии устройства для оценки контекста:

События подключений (Wi-Fi, Bluetooth, USB).
Смена SIM-карты.
Запущенные процессы.

C2-инфраструктура (Command & Control)

Коммуникация с серверами управления построена гибридно:

HTTPS-запросы, замаскированные под аналитический трафик.
Технология Long Polling для ожидания команд.
Скрытые каналы передачи данных (DNS-туннелирование/фрагментированные запросы).

Note: Наблюдаются пересечения сетевой инфраструктуры Landfall с объектами, ранее связанными с группировкой Stealth Falcon, известной атаками на журналистов и активистов.

География и цели

Образцы малвари были выделены из устройств в Марокко, Иране, Ираке и Турции. Код эксплойта содержал специфические проверки для моделей Samsung:

Galaxy S22, S23, S24;
Линейка Galaxy Z (Fold/Flip).

Это подтверждает узкую направленность разработки под флагманские устройства конкретного вендора.

Реакция Samsung и выводы

Samsung оперативно выпустила патч безопасности, закрывающий CVE-2025-21042. Обновление исправляет логику валидации входных данных при декодировании изображений, устраняя возможность переполнения буфера. Почему Landfall — это серьезно:

Zero-Click: Жертва не может предотвратить заражение стандартными методами цифровой гигиены.
Высокая сложность: Использование кастомных ROP-цепочек и обход современных защитных механизмов Android (ASLR, Sandbox).
Профессиональная разработка: Модульность и скрытность указывают на наличие значительных ресурсов у атакующих.

Случай с Landfall еще раз доказывает: мобильные устройства остаются приоритетной целью для государственного кибершпионажа, а уязвимости в обработчиках медиафайлов — «ахиллесовой пятой» современных ОС.