نقص امنیتی با شناسه CVE-2025-21042 (امتیاز: 8.8) در کتابخانه پردازش تصویر دستگاههای اندروید سامسونگ به عنوان آسیبپذیری روز صفر جهت ارائه جاسوسافزار اندرویدی «LandFall» در حملات هدفمند به خاورمیانه با استفاده از تصاویر مخرب ارسالی از طریق واتساپ مورد سوءاستفاده قرار گرفت.
طبق گزارش Unit 42، این فعالیت شامل اکسپلویت از آسیبپذیری نوشتن خارج از محدوده در مؤلفه “libimagecodec.quram.so” است که میتواند به مهاجمان از راه دور اجازه اجرای کد دلخواه را بدهد. این نقص در آوریل ۲۰۲۵ توسط سامسونگ برطرف شد. Unit 42 گفت: این آسیبپذیری قبل از اینکه سامسونگ آن را در آوریل ۲۰۲۵ وصله کند، به طور فعال در سطح اینترنت مورد سوءاستفاده قرار میگرفت، پس از گزارشهایی از حملات در سطح اینترنت. اهداف بالقوه این فعالیت که با شناسه CL-UNK-1054 ردیابی میشوند، بر اساس دادههای ارسالی VirusTotal در عراق، ایران، ترکیه و مراکش قرار دارند.
این تحول در حالی رخ داد که سامسونگ در سپتامبر 2025 فاش کرد که نقص دیگری با شناسه CVE-2025-21043 و امتیاز: 8.8 در همان کتابخانه به عنوان آسیبپذیری روز صفر در سطح اینترنت تحت اکسپلویت قرار گرفته است. هیچ مدرکی مبنی بر استفاده از این نقص امنیتی در کمپین LANDFALL وجود ندارد. بر اساس ارزیابیها این حملات شامل ارسال تصاویر مخرب از طریق واتساپ در قالب فایلهای DNG (نگاتیو دیجیتال) بوده است. LANDFALL، پس از نصب و اجرا، به عنوان ابزار جاسوسی جامع عمل میکند و قادر به جمعآوری دادههای حساس از جمله ضبط میکروفون، مکان، عکسها، مخاطبین، پیامکها، فایلها و گزارشهای تماس است.
این جاسوسافزار اندرویدی به طور خاص برای هدف قرار دادن دستگاههای سری گلکسی S22، S23 و S24 سامسونگ و همچنین Z Fold 4 و Z Flip 4 طراحی شده است و برخی از دستگاههای پرچمدار این شرکت بزرگ لوازم الکترونیکی کره جنوبی را به جز آخرین نسل پوشش میدهد. در حال حاضر مشخص نیست چه کسی پشت این جاسوسافزار یا کمپین است. با این اوصاف، ظاهرا زیرساخت C2 و الگوهای ثبت دامنه LANDFALL با Stealth Falcon (معروف به FruityArmor) مطابقت دارد، اگرچه تا اکتبر ۲۰۲۵، هیچ همپوشانی مستقیمی بین این دو گروه شناسایی نشده است. یافتهها نشان میدهد که LANDFALL احتمالاً بخشی از موج گستردهتر بهرهبرداری از DNG است که از طریق زنجیرههای بهرهبرداری مذکور به دستگاههای آیفون نیز آسیب رسانده است.
https://unit42.paloaltonetworks.com/landfall-is-new-commercial-grade-android-spyware/
https://www.bleepingcomputer.com/news/security/new-landfall-spyware-exploited-samsung-zero-day-via-whatsapp-messages/
https://thehackernews.com/2025/11/samsung-zero-click-flaw-exploited-to.html
