【安全圈】三星Galaxy零日漏洞被利用在手机中植入间谍软件

关键词

恶意代码

2025年中东地区爆发的一起定向间谍攻击，利用了三星 Galaxy 设备中一个在补丁发布前被零日利用的严重漏洞，将一款被称为“LANDFALL”的商业级 Android 间谍软件植入受害者手机。Palo Alto Networks 的 Unit 42 团队通过对样本和关联痕迹的分析还原了这条攻击链：攻击者通过 WhatsApp 发送看似普通的 DNG 图像文件，利用 libimagecodec.quram.so 中的越界写入缺陷（CVE-2025-21042）触发漏洞，随后从图像尾部析出一个压缩包，解压并加载其中的共享库文件以执行恶意代码。这个共享库不仅负责载入间谍模块，还包含用来操纵设备 SELinux 策略的组件，以便提升权限并维持持久化。加载器与攻击者控制的命令与控制服务器通过 HTTPS 建立“信标”通信，按需下载并执行后续阶段的模块，使得 LANDFALL 的功能能够被按目标扩展。

Unit 42 追踪的样本可追溯到 2024 年 7 月下旬，研究人员在 2025 年 2 月和 2025 年 4 月仍检测到功能基本一致的变体，表明这是一套成熟且长期在用的间谍工具。LANDFALL 一旦被成功安装，能够窃取包括麦克风录音、位置数据、照片、联系人、短信、通话记录和文件在内的广泛敏感信息，从而实现对目标的全面监控。虽然分析小组认为这一利用链可能具备“零点击”触发的潜能，也就是无需用户交互便可被触发，但目前并没有确凿证据表明 WhatsApp 本身存在被滥用的未知漏洞；已知的是，攻击者利用被精心构造的 DNG 文件将恶意有效载荷隐蔽地附带在正常媒体之中，从而跨越了用户对媒体文件的天然信任。

技术上，LANDFALL 的设计呈现出模块化和隐蔽性的双重特征。样本中包含的加载器不仅实现了对主间谍模块的部署和通讯，还通过伪装与反分析手段增加了检测难度。Unit 42 指出，攻击者在共享对象中设计了混淆与误导逻辑，例如用于迷惑动态分析工具的假 AES 密钥生成方式，使得安全研究人员难以在第一时间识别真实的加密和执行流程。此外，尽管当前可见样本未包含全部后续载荷，但加载器被明确设计为可从 C2 下载并执行额外组件，意味着实际攻击的后期能力可能远超目前公开样本所能反映的范围。

受影响设备被限定为三星的部分旗舰机型，包括 Galaxy S22、S23、S24 系列以及 Z Fold 4 与 Z Flip 4，这表明攻击者在选择攻击目标时具有明确的目标性，并倾向于优先针对市场上流行且具备高价值信息的机型发起攻击。Palo Alto Networks 还注意到，LANDFALL 的 C2 基础设施与域名注册模式在若干特征上与以往被称为 Stealth Falcon（又名 FruityArmor）的网络间谍组织存在相似之处，尽管截至 2025 年 10 月两者尚未被证实有直接重合，但这种相似性提示相关基础设施可能共享某些操盘者或服务供应链。

整体而言，这起事件暴露了移动生态中多媒体文件处理链条的长期风险。利用图像、音视频等媒体文件作为载体的漏洞链极具隐蔽性，攻击文件在表面上仍为常见格式，很容易被用户接收与保存，只有在对图像解码器或后端处理流程进行深入分析时才能被识别。Unit 42 的结论也指出，尽管三星在 2025 年 4 月发布了相应补丁以修复 CVE-2025-21042，但相关的攻击基础设施与类似漏洞利用链在随后的数月里仍被观测到，这表明此类攻击并非孤立事件，攻击者会长期维护或复用可行的利用链，直到相关链路被全面切断或替代。

对普通用户而言，最直接且有效的防护措施依然是及时安装厂商发布的安全更新，避免打开来历不明的多媒体文件，并对来源可疑的消息保持高度警惕；对组织与安全团队来说，需要将多媒体解析组件纳入常规的威胁检测与加固范围，强化移动终端的入侵检测与最小权限策略，尽可能降低通过媒体文件触发漏洞的风险。LANDFALL 的出现再次提醒我们：在移动设备和即时通讯成为主流沟通工具的今天，单纯依赖表层信任已无法抵御深藏在普通媒介内的高级威胁。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！