智能手机再遭恶意软件侵袭。Palo Alto Networks旗下威胁情报团队Unit 42披露,一款名为"Landfall"的高级间谍软件瞄准三星Galaxy系列手机。研究人员称该攻击利用三星安卓系统的零日漏洞窃取大量个人数据,活跃时间持续近一年。所幸相关漏洞现已修复,且攻击目标可能仅为特定群体。
Unit 42指出Landfall最早出现于2024年7月,利用编号CVE-2025-21042的软件漏洞运作。三星虽于2025年4月发布补丁,但攻击细节直至今日才公之于众。
即便用户在2024年至2025年初使用三星设备访问暗网等危险区域,感染概率仍较低。研究团队认为该软件主要在中东地区用于特定目标监控,目前幕后黑手尚未明确。
Landfall的阴险之处在于其"零点击"攻击特性——无需用户交互即可入侵系统。Unit 42通过对比苹果iOS与WhatsApp已修复的两个相似漏洞发现该威胁,组合利用这些漏洞可实现远程代码执行。研究人员在VirusTotal平台发现多个恶意图像文件,最终溯源至Landfall攻击。
图像伪装技术
传统图像文件不可执行,但特定格式的畸形文件可携带恶意代码。Landfall使用基于TIFF格式的改良版DNG原始图像文件,在其中嵌入恶意负载的ZIP压缩包。
在2025年4月补丁前,三星手机的图像处理库存在安全漏洞。当系统解析显示恶意图像时,会自动从ZIP包提取共享库文件运行间谍软件。有效负载还会修改设备的SELinux策略,为Landfall提权并扩大数据访问范围。
受感染文件似乎通过WhatsApp等即时通讯应用传递目标。Unit 42发现代码中提及多款三星设备,包括Galaxy S22-S24系列及Z Flip/Fold 4折叠屏机型。一旦激活,Landfall会向远程服务器发送设备基础信息,攻击者可进而窃取用户ID、硬件标识、安装应用、通讯录、设备文件及浏览历史等数据,还能远程开启摄像头与麦克风进行监视。
清除该间谍软件难度极高:因其具备SELinux策略篡改能力,可深植于系统底层,并配备多种反检测工具。根据VirusTotal提交记录,Landfall在2024年至2025年初于伊拉克、伊朗、土耳其和摩洛哥活跃。漏洞可能存在于安卓13至15版本的三星系统中。
Unit 42表示其命名规则与服务器响应模式与NSO Group、Variston等知名网络情报公司的工业级间谍软件高度相似,但暂未发现直接关联。尽管本次攻击针对性强,但技术细节公开后,其他威胁者可能对未更新设备发起类似攻击。所有受影响三星用户务必确保系统已升级至2025年4月安全补丁或更高版本。
0条评论