Descoberta campanha de spyware direcionada a dispositivos Samsung Galaxy via WhatsApp.

A empresa de cibersegurança Unit 42 descobriu uma campanha de spyware em dispositivos Samsung Galaxy que explorava uma vulnerabilidade zero-day para infiltrar os telefones através de imagens enviadas pelo WhatsApp. 

Pesquisadores de segurança alertam que a operação está ativa desde meados de 2024 e ajuda os invasores a implantar malware avançado para Android, capaz de realizar vigilância completa do dispositivo sem interação do usuário.

A operação foi apelidada de LANDFALL pelos pesquisadores de segurança cibernética e foi detectada em setembro, após uma investigação que começou a analisar amostras de exploração do iOS em meados de 2025. 

O malware LANDFALL atinge dispositivos Android da Samsung.

De acordo com o relatório investigativo da Unit 42, publicado em 7 de novembro, o malware específico para Android estava presente nas amostras de iOS, oculto em arquivos de imagem Digital Negative (DNG).

Alguns proprietários de telefones Samsung Galaxy relataram ter visto nomes semelhantes aos do WhatsApp, como “IMG-20240723-WA0000.jpg”, que foram enviados ao VirusTotal de locais como Marrocos, Irã, Iraque e Turquia entre julho de 2024 e o início de 2025.

O LANDFALL utiliza um tipo de exploit chamado “CVE-2025-21042”, uma falha na biblioteca de processamento de imagens da Samsung, libimagecodec.quram.so . O CVE-2025-12725 também é um erro de escrita fora dos limites no WebGPU, que é o componente de processamento gráfico do navegador Chrome, desenvolvido pelo Google.

A vulnerabilidade foi corrigida em abril de 2025 após relatos de exploração ativa, mas não antes de ter corrompido arquivos DNG contendo um arquivo ZIP anexado em diversos dispositivos. A Unit 42 explicou que o ataque enganava a biblioteca vulnerável para que ela extraísse trac executasse bibliotecas de objetos compartilhados (.so) que instalavam o spyware nos dispositivos.

O relatório da Unit 42 afirma que o spyware ativa microfones para gravação, tracusuários via GPS e rouba informações como fotos, contatos, registros de chamadas e mensagens de forma discreta. Os modelos Samsung Galaxy afetados incluem as séries S22, S23, S24 e Z, especificamente aqueles com as versões 13, 14 e 15 do Android. 

A falha de dia zero também está afetando a análise de imagens DNG no iOS da Apple , onde os desenvolvedores do WhatsApp descobriram que os invasores estavam explorando a vulnerabilidade da Apple em conjunto com a falha para forçar os dispositivos a processar conteúdo de URLs maliciosas.

A segunda parte do LANDFALL, chamada b.so, conecta-se ao seu servidor de comando e controle (C2) usando HTTPS por meio de uma porta TCP temporária que não é padrão. O malware pode enviar sinais de ping para verificar se o servidor está ativo e funcionando antes de iniciar o tráfego criptografado. Isso é explicado no apêndice técnico do relatório.

Assim que a conexão HTTPS estiver ativa, o b.so transmite uma solicitação POST contendo informações detalhadas sobre o dispositivo infectado e a instância do spyware, incluindo o ID do agente, o caminho do dispositivo e o ID do usuário.

Em setembro, o WhatsApp reportou à Samsung uma vulnerabilidade relacionada (CVE-2025-21043). A empresa de mensagens alertou os usuários de que uma mensagem maliciosa poderia explorar falhas no sistema operacional para comprometer dispositivos e os dados neles contidos.

“Nossa investigação indica que uma mensagem maliciosa pode ter sido enviada para você pelo WhatsApp e explorado outras vulnerabilidades no sistema operacional do seu dispositivo”, disse a Meta em um comunicado de segurança. “Embora não tenhamos certeza de que seu dispositivo foi comprometido, queríamos informá-lo por precaução.”

Na semana passada, o jornal The Peninsula noticiou que a campanha poderia ser tracaté um spyware ligado a governos instalado em dispositivos móveis no Oriente Médio. O Pegasus, do NSO Group, o Predator, da Cytox/Intellexa, e o FinSpy, da Gamma FinFisher, são há muito associados a ataques semelhantes. 

O Google fornece atualizações para combater a falha de segurança de dia zero.

De acordo com um relatório anterior do Google, esses agentes foram responsáveis por quase metade de todas as vulnerabilidades de dia zero em seus produtos entre 2014 e 2023. No mês passado, um tribunal federal dos EUA proibiu o grupo israelense NSO de realizar engenharia reversa do WhatsApp para distribuir spyware.

“Parte do que empresas como o WhatsApp 'vendem' é a privacidade da informação, e qualquer acesso não autorizado interfere nessa venda”, afirmou a juíza distrital dos EUA, Phyllis Hamilton, em sua decisão.

A gigante da tecnologia lançou a versão 142 do Chrome na semana passada para corrigir cinco vulnerabilidades de segurança críticas, três das quais, segundo a empresa, apresentavam classificação de "alto risco". A atualização foi disponibilizada para computadores e dispositivos Android por meio de patches lançados via Google Play.

A vulnerabilidade CVE-2025-12727 afeta o mecanismo JavaScript V8 do Chrome, responsável pelo desempenho da execução, enquanto a CVE-2025-12726 impacta o gerenciador de interface do usuário do navegador, o Chrome Views. 

Especialistas em cibersegurança estão agora pedindo aos usuários do Samsung Galaxy que apliquem imediatamente a atualização de segurança de abril de 2025 para corrigir a vulnerabilidade CVE-2025-21042. 

Seja visto onde importa. Anuncie na Cryptopolitan Research e alcance os investidores e criadores mais experientes em criptomoedas.