ATLA WIRE

Уязвимость Samsung Zero-Click использовалась для развертывания шпионского ПО LANDFALL для Android через WhatsApp

08.11.2025
962
Уязвимость Samsung Zero-Click использовалась для развертывания шпионского ПО LANDFALL для Android через WhatsApp
Шпионское ПО LANDFALL использовало уязвимость Samsung Galaxy zero-click (CVE-2025-21042) через изображения WhatsApp до исправления в апреле 2025 года.

🚨 Уязвимость Samsung Zero-Click использовалась для развертывания шпионского ПО LANDFALL для Android через WhatsApp

Шпионское ПО LANDFALL использовало уязвимость Samsung Galaxy zero-click (CVE-2025-21042) через изображения WhatsApp — без необходимости взаимодействия с пользователем. Эта цепочка эксплойтов была активна до того, как Samsung исправил ее в апреле 2025 года.
Article image 1
Атака использовала уязвимость в обработке изображений Samsung, позволяя вредоносным изображениям WhatsApp вызывать удаленное выполнение кода. Попав внутрь, LANDFALL развернул возможности полного спектра наблюдения: сбор контактов, сообщений, данных о местоположении и доступ к микрофону.
CVE-2025-21042 была ошибкой повреждения памяти в проприетарном кодеке изображений Samsung — обходя песочницу Android и ASLR. Цепочка эксплойтов использовала вредоносно созданное изображение, отправленное через WhatsApp, автоматически обрабатываемое приложением галереи Samsung, что приводило к произвольному выполнению кода с привилегиями системы.
Модули LANDFALL после заражения включали: запись нажатий клавиш, запись экрана, отслеживание местоположения в реальном времени и эксфильтрацию чатов WhatsApp/Telegram/Signal. Шпионское ПО работало скрытно, маскируя свои процессы и используя зашифрованные каналы C2.
Samsung устранил уязвимость в своем обновлении безопасности за апрель 2025 года. Пользователи должны убедиться, что их устройства Galaxy обновлены до последнего уровня исправлений. Эксплойт был приписан сложной группе угроз, с целями, включая журналистов, активистов и государственных чиновников.
  • Эксплойт zero-click через изображения WhatsApp
  • Повреждение памяти CVE-2025-21042 в кодеке изображений Samsung
  • Полный захват устройства и эксфильтрация данных
  • Исправлено в обновлении безопасности Samsung за апрель 2025 года
  • Приписано группе продвинутых постоянных угроз (APT)
#RCE уязвимости#WhatsApp вредоносное ПО#атаки с нулевым кликом#уязвимости CVE#шпионское ПО для Android
Есть тема? Пишите ATLA WIRE в Telegram:t.me/atla_community
Banner | ATLA WIRE
ATLA WIRE