Pesquisadores da Palo Alto Networks identificaram que atacantes exploraram a vulnerabilidade CVE-2025-21042 para entregar o spyware Landfall a donos de dispositivos Samsung por meio de arquivos de imagem especialmente manipulados. O foco dos ataques foi em usuários no Oriente Médio e Norte da África.
Zero-day no processamento de imagens e distribuição via WhatsApp
O Landfall infectou celulares das linhas Galaxy S22, S23, S24, Z Fold4 e Z Flip4 por meio da exploração de uma falha na biblioteca de processamento de imagens da Samsung. O ataque envolveu o envio, via WhatsApp, de um arquivo de imagem DNG capaz de executar código remotamente no aparelho, potencialmente sem nenhuma interação do usuário, caracterizando um “zero-click exploit”.
A vulnerabilidade foi corrigida pela Samsung em abril de 2025, mas a fabricante não mencionou casos de exploração ativa no comunicado. Segundo a Palo Alto, as campanhas de ataques começaram em julho de 2024, utilizando o CVE-2025-21042 como zero-day antes da disponibilização dos patches.
Recursos de espionagem e vasta coleta de dados
Uma vez instalado, o spyware Landfall possibilita gravação de áudio, rastreamento de localização e exfiltração de dados. Fotos, contatos, registros de chamadas e outras informações sensíveis podem ser furtadas remotamente. O malware opera em segundo plano, dando total visibilidade ao atacante sobre as atividades do usuário.
Vulnerabilidades parecidas e contexto global
O CVE-2025-21042 é semelhante ao CVE-2025-21043, outra falha crítica presente na mesma biblioteca e também explorada para instalar spyware. Antes dessas descobertas, a Apple já havia corrigido o CVE-2025-43300, relacionado a ataques sofisticados que combinaram vulnerabilidades do iOS e do WhatsApp.
Embora haja vínculos tênues com grupos como Stealth Falcon e indícios de relação com fornecedores comerciais de spyware como NSO, Variston e Cytrox, a Palo Alto Networks não atribuiu o Landfall a nenhum grupo de espionagem específico.
Alvos e escala regional dos ataques
As amostras analisadas sugerem que o Landfall foi usado contra indivíduos em países como Irã, Iraque, Turquia e Marrocos. O caso reforça a importância de aplicar atualizações de segurança imediatamente em dispositivos móveis, principalmente onde há risco elevado de vigilância digital e ataques direcionados.
FONTE: CISO ADVISOR
