Falha zero-click em Samsung espalha spyware via WhatsApp; empresa corrige

Campanha atingiu alvos no Iraque, Irã, Turquia e Marrocos usando imagens DNG maliciosas; Samsung corrigiu a falha

Cecilia Ferraz

schedule10/11/2025, às 18:15

updateAtualizado em 10/11/2025, às 18:37

Uma falha de segurança em dispositivos Samsung Galaxy foi explorada como zero-day para entregar um spyware comercial chamado LANDFALL em ataques direcionados no Oriente Médio. O vetor de ataque consistia em imagens maliciosas no formato DNG (Digital Negative) enviadas via WhatsApp, usando uma abordagem que não exigia qualquer interação do usuário para explorar a vulnerabilidade.

A vulnerabilidade em questão é a CVE-2025-21042, com score CVSS de 8.8, uma falha de escrita fora dos limites no componente "libimagecodec.quram.so" que permitia a execução remota de código arbitrário.

smart_display

Nossos vídeos em destaque

A Samsung corrigiu o problema em abril de 2025, mas há evidências de amostras do LANDFALL desde julho de 2024 – isso significa que a falha foi explorada por quase um ano antes do patch ser disponibilizado.

Como funciona o ataque zero-click

Os alvos potenciais da campanha, rastreada como CL-UNK-1054, estavam localizados no Iraque, Irã, Turquia e Marrocos, baseado em dados de submissão ao VirusTotal. O que torna esse ataque particularmente preocupante é que a vítima não precisa clicar, abrir ou interagir de forma alguma com o arquivo malicioso. Simplesmente receber a imagem via WhatsApp já era suficiente para a exploração.

Os arquivos DNG continham um arquivo ZIP embutido no final, e o exploit era usado para extrair uma biblioteca de objeto compartilhado desse arquivo para executar o spyware. Tem até outro objeto compartilhado projetado para manipular a política SELinux do dispositivo para conceder ao LANDFALL permissões elevadas e facilitar a persistência no sistema.

Os artefatos DNG encontrados tinham nomes que imitavam imagens comuns do WhatsApp, como "WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg" e "IMG-20240723-WA0000.jpg", aumentando a credibilidade e dificultando a identificação da ameaça.

O que o spyware LANDFALL consegue fazer

O LANDFALL em si é um spyware bem completo, capaz de coletar gravação de microfone, localização, fotos, contatos, SMS, arquivos e registros de chamadas. É basicamente vigilância total do dispositivo comprometido. Uma vez instalado e executado, o malware atua como uma ferramenta abrangente de espionagem.

A biblioteca compartilhada que carrega o LANDFALL também se comunica com um servidor de comando e controle (C2) através de HTTPS para entrar em um loop de beacon e receber payloads de próxima fase não especificados para execução subsequente. Essa arquitetura modular permite que os atacantes expandam as capacidades do spyware conforme necessário.

Possível conexão com grupo de ameaças conhecido

A Unit 42, da Palo Alto Networks, que descobriu e analisou a campanha, detectou alguns padrões de infraestrutura de comando e controle e registro de domínio que se alinham com o Stealth Falcon, também conhecido como FruityArmor.

No entanto, até outubro de 2025 não foram detectadas sobreposições diretas entre os dois clusters. Isso sugere que pode haver conexões, mas não é conclusivo ainda sobre quem está por trás dessa operação.
Stealth Falcon é um grupo de ameaças conhecido por conduzir operações de espionagem cibernética no Oriente Médio, geralmente com motivações político-governamentais.

Contexto de exploits zero-click em 2025

O desenvolvimento ocorre em um contexto mais amplo de vulnerabilidades críticas. A Samsung já havia divulgado em setembro de 2025 que outra falha na mesma biblioteca (CVE-2025-21043, CVSS score: 8.8) também tinha sido explorada in-the-wild como zero-day.

Não há evidências de que essa segunda vulnerabilidade tenha sido weaponizada na campanha do LANDFALL, mas demonstra um padrão de problemas nesse componente específico.

Na mesma época, o WhatsApp divulgou que uma falha em seu aplicativo para iOS e macOS foi encadeada com uma vulnerabilidade da Apple para potencialmente atingir menos de 200 usuários como parte de uma campanha sofisticada.

Amostras permaneceram públicas por mais de um ano

Um aspecto particularmente preocupante dessa campanha é sua duração. Segundo a Unit 42, "desde a aparição inicial de amostras em julho de 2024, essa atividade destaca como exploits sofisticados podem permanecer em repositórios públicos por um período estendido antes de serem completamente compreendidos".

O fato de que amostras do LANDFALL estavam disponíveis em plataformas como o VirusTotal por meses antes da descoberta completa da campanha indica que as técnicas de evasão empregadas pelos atacantes foram eficazes em evitar detecção automatizada.

A Samsung lançou o patch de segurança em abril de 2025, e usuários de dispositivos Galaxy devem garantir que seus aparelhos estejam atualizados com as correções de segurança mais recentes para se proteger contra essa e outras vulnerabilidades similares.

Para acompanhar mais casos como esse, siga o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube para mais notícias de tecnologia e segurança.

Perguntas Frequentes

O que é a falha zero-click descoberta em dispositivos Samsung Galaxy?

Trata-se de uma vulnerabilidade crítica (CVE-2025-21042) com score CVSS de 8.8, explorada sem necessidade de qualquer interação do usuário. A falha permitia a execução remota de código ao receber imagens DNG maliciosas via WhatsApp, explorando o componente "libimagecodec.quram.so".

Como funcionava o ataque usando imagens DNG no WhatsApp?

As imagens DNG maliciosas continham um arquivo ZIP embutido que extraía uma biblioteca de objeto compartilhado para executar o spyware LANDFALL. O ataque era zero-click, ou seja, bastava receber a imagem no WhatsApp para que a exploração ocorresse, sem necessidade de abrir ou clicar no arquivo.

O que é o spyware LANDFALL e o que ele consegue fazer?

LANDFALL é um spyware comercial avançado capaz de coletar dados como gravações de microfone, localização, fotos, contatos, SMS, arquivos e registros de chamadas. Ele também se comunica com um servidor de comando e controle (C2) via HTTPS para receber instruções adicionais, funcionando como uma ferramenta completa de espionagem.

Quais países foram alvo da campanha de espionagem?

A campanha, identificada como CL-UNK-1054, teve como alvos usuários localizados no Iraque, Irã, Turquia e Marrocos, conforme dados de submissão ao VirusTotal.

Quando a falha foi corrigida e por quanto tempo foi explorada?

A Samsung lançou o patch de segurança em abril de 2025. No entanto, amostras do spyware LANDFALL estavam disponíveis desde julho de 2024, indicando que a falha foi explorada por quase um ano antes da correção.

Há suspeitas sobre quem está por trás da campanha?

A Unit 42, da Palo Alto Networks, identificou semelhanças na infraestrutura com o grupo Stealth Falcon (também conhecido como FruityArmor), conhecido por espionagem cibernética no Oriente Médio. No entanto, até outubro de 2025, não há confirmação de envolvimento direto.

O que significa uma falha ser classificada como zero-day e zero-click?

Zero-day refere-se a uma vulnerabilidade que é explorada antes de ser conhecida ou corrigida pelo fabricante. Zero-click indica que o ataque não requer nenhuma ação do usuário, como clicar ou abrir arquivos, tornando-o especialmente perigoso.

Como os usuários podem se proteger contra esse tipo de ameaça?

É essencial manter os dispositivos atualizados com os patches de segurança mais recentes. No caso dos aparelhos Samsung Galaxy, a correção foi disponibilizada em abril de 2025, e os usuários devem garantir que seus sistemas estejam atualizados para evitar exploração de falhas semelhantes.

Cecilia Ferraz

Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.

local_mall