商业间谍软件“Landfall”在三星手机上猖獗近一年

在 2025 年 4 月补丁发布之前，三星手机的图像处理库存在漏洞。这是零点击攻击，因为用户不需要启动任何东西。当系统处理要显示的恶意图像时，它会从 ZIP 中提取共享对象库文件以运行 Landfall 间谍软件。该有效负载还会修改设备的 SELinux 策略，以向 Landfall 提供扩展的权限和数据访问权限。

受感染的文件似乎是通过 WhatsApp 等消息传递应用程序发送到目标的。 Unit 42 指出，Landfall 的代码引用了几款特定的三星手机，包括 Galaxy S22、Galaxy S23、Galaxy S24、Galaxy Z Flip 4 和 Galaxy Z Fold 4。一旦激活，Landfall 就会连接到远程服务器并提供基本设备信息。然后，操作员可以提取大量数据，例如用户和硬件 ID、安装的应用程序、联系人、设备上存储的任何文件以及浏览历史记录。它还可以激活摄像头和麦克风来监视用户。

删除间谍软件也不是一件容易的事。由于其能够操纵 SELinux 策略，因此可以深入挖掘系统软件。它还包括一些有助于逃避检测的工具。根据 VirusTotal 提交的材料，Unit 42 认为 Landfall 在 2024 年和 2025 年初在伊拉克、伊朗、土耳其和摩洛哥很活跃。该公司表示，该漏洞可能存在于 Android 13 至 Android 15 的三星软件中。

Unit 42 表示，一些命名方案和服务器响应与 NSO Group 和 Variston 等大型网络情报公司开发的工业间谍软件有相似之处。然而，他们不能将登陆直接与任何特定群体联系起来。虽然这次攻击的针对性很强，但细节现已公开，其他威胁行为者现在可以采用类似的方法来访问未修补的设备。任何拥有受支持的三星手机的人都应该确保他们安装了 2025 年 4 月或更高版本的补丁。