Uma falha crítica em dispositivos Samsung Galaxy foi explorada como um ataque zero-day para instalar o spyware comercial LANDFALL em usuários do Oriente Médio. A vulnerabilidade, identificada como CVE-2025-21042, permitia que invasores executassem código remotamente apenas enviando uma imagem maliciosa em formato DNG (Digital Negative) pelo WhatsApp — sem que a vítima precisasse abrir o arquivo.
A falha e o ataque
O problema estava no componente libimagecodec.quram.so, responsável por processar imagens. A brecha, classificada com score CVSS de 8.8, foi corrigida pela Samsung apenas em abril de 2025, embora o LANDFALL já estivesse ativo desde julho de 2024. Isso significa que a falha foi explorada por quase um ano antes do patch ser disponibilizado.
Os ataques, rastreados como CL-UNK-1054, atingiram vítimas no Iraque, Irã, Turquia e Marrocos, de acordo com registros do VirusTotal. A ameaça se destacava por seu caráter zero-click: bastava receber a imagem no WhatsApp para que a exploração ocorresse automaticamente.
Os arquivos DNG usados no ataque continham um arquivo ZIP oculto com uma biblioteca maliciosa capaz de executar o spyware. Outra biblioteca manipulava políticas de segurança do sistema (SELinux) para conceder permissões elevadas e garantir persistência no dispositivo. Para enganar as vítimas, os arquivos usavam nomes comuns, como “WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg” ou “IMG-20240723-WA0000.jpg”.
O que o LANDFALL é capaz de fazer
O LANDFALL é um spyware avançado que oferece controle quase total sobre o dispositivo comprometido. Ele pode:
- Gravar áudio pelo microfone;
- Coletar localização, fotos, contatos, mensagens SMS e registros de chamadas;
- Extrair arquivos armazenados no aparelho.
Após a infecção, o malware se conecta a um servidor de comando e controle (C2) via HTTPS, criando um canal de comunicação para receber novos módulos e comandos. Essa estrutura modular permite que os atacantes ampliem as capacidades do spyware conforme o objetivo da campanha.
Possível ligação com o grupo Stealth Falcon
A investigação conduzida pela Unit 42, da Palo Alto Networks, encontrou semelhanças entre a infraestrutura usada no ataque e a de um grupo conhecido como Stealth Falcon (ou FruityArmor). Esse grupo, ativo no Oriente Médio, é conhecido por conduzir operações de espionagem com motivações políticas.
Apesar das semelhanças, não há confirmação direta de que o Stealth Falcon esteja por trás do LANDFALL. A Unit 42 destaca que os padrões observados sugerem uma possível conexão, mas o vínculo ainda não é conclusivo.
Contexto de vulnerabilidades zero-click em 2025
O caso do LANDFALL se insere em um cenário mais amplo de ataques sofisticados sem interação do usuário. Em setembro de 2025, a Samsung já havia revelado outra falha semelhante — CVE-2025-21043, também com score 8.8 — explorada ativamente por invasores.
Na mesma época, o WhatsApp confirmou uma campanha que combinava falhas no app com uma vulnerabilidade da Apple, afetando cerca de 200 usuários de iOS e macOS. O padrão mostra uma tendência crescente: o uso de vulnerabilidades zero-click para espionagem altamente direcionada.
Exploração durou quase um ano
Um dos aspectos mais alarmantes da campanha é o tempo que o exploit permaneceu ativo sem ser detectado. A Unit 42 relata que amostras do LANDFALL estavam disponíveis em repositórios públicos desde julho de 2024, mas passaram despercebidas até o ano seguinte.
Isso reforça como explorações avançadas podem circular livremente por meses, disfarçadas entre arquivos legítimos e sem levantar suspeitas das ferramentas de segurança automatizadas.
Atualização e proteção
A Samsung corrigiu a falha em abril de 2025, e recomenda que usuários de dispositivos Galaxy atualizem imediatamente seus aparelhos com as últimas versões de segurança.
Manter o sistema operacional e os aplicativos atualizados é, mais do que nunca, essencial — especialmente em tempos em que uma simples imagem recebida pode ser o ponto de entrada para uma operação global de espionagem digital.
