A Agência de Cibersegurança e Infraestruturas dos EUA (CISA) emitiu uma diretiva urgente ordenando a todas as agências federais americanas que corrijam uma vulnerabilidade crítica em dispositivos Samsung. A falha tem sido ativamente explorada como um "zero-day" para instalar um spyware sofisticado, conhecido como LandFall, através de mensagens no WhatsApp.
A falha explorada pelo LandFall
A vulnerabilidade, registada como CVE-2025-21042, é uma falha grave de "out-of-bounds write" localizada na biblioteca libimagecodec.quram.so da Samsung. Este problema permite que atacantes remotos executem código malicioso em dispositivos com Android 13 ou versões posteriores.
Embora a Samsung tenha lançado uma correção em abril, após ser alertada pela equipa de segurança da Meta (proprietária do WhatsApp), a Palo Alto Networks (Unit 42) revelou na semana passada que os atacantes exploram esta falha desde, pelo menos, julho de 2024. O método de ataque consiste no envio de uma imagem DNG maliciosa através do WhatsApp.
Capacidades do spyware e dispositivos afetados
Uma vez instalado, o spyware LandFall concede aos atacantes acesso quase total ao dispositivo. É capaz de aceder ao histórico de navegação, gravar chamadas telefónicas e áudio ambiente, seguir a localização da vítima e roubar fotografias, contactos, mensagens SMS, registos de chamadas e outros ficheiros.
A lista de dispositivos vulneráveis inclui muitos dos topos de gama recentes da Samsung:
Série Galaxy S22
Série Galaxy S23
Série Galaxy S24
Galaxy Z Fold 4
Galaxy Z Flip 4
A análise da Unit 42 a amostras do malware sugere que os alvos se localizam no Iraque, Irão, Turquia e Marrocos. Embora a infraestrutura de Comando e Controlo (C2) partilhe semelhanças com operações do grupo Stealth Falcon (originário dos Emirados Árabes Unidos) e o nome do loader do malware ("Bridge Head") seja uma convenção usada por spyware comercial (como o da NSO Group), o LandFall ainda não foi formalmente associado a nenhum grupo específico.
Atualização é urgente para todos
A CISA adicionou formalmente o CVE-2025-21042 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). A diretiva (BOD 22-01) obriga as agências federais civis dos EUA a proteger os seus dispositivos Samsung até 1 de dezembro.
Contudo, a agência de cibersegurança fez questão de sublinhar que, apesar de a ordem se aplicar apenas a entidades federais, todas as organizações e utilizadores privados devem priorizar a instalação desta correção o mais rápido possível. "Este tipo de vulnerabilidade é um vetor de ataque frequente... e representa riscos significativos", alertou a CISA.
Esta não é a primeira vez que esta biblioteca da Samsung é alvo de ataques. Em setembro, a empresa já tinha corrigido outra falha (CVE-2025-21043) na mesma libimagecodec.quram.so, que também foi explorada como zero-day.
Nenhum comentário
Seja o primeiro!