Când defectele din telefoane devin problemă de securitate națională: CISA solicită agențiilor federale din SUA să remedieze o vulnerabilitate critică la dispozitive Samsung folosită pentru a instala spyware-ul LandFall prin imagini DNG trimise pe WhatsApp. Bugul, identificat ca CVE-2025-21042, afectează biblioteca libimagecodec.quram.so și permite executarea de cod la distanță pe telefoane cu Android 13 și versiuni ulterioare. Deși Samsung a livrat un patch în aprilie după ce echipele de securitate de la Meta și WhatsApp au raportat problema, cercetătorii de la Unit 42 (Palo Alto Networks) au arătat că exploatarea a început cel puțin din iulie 2024 pentru a distribui spyware-ul LandFall.
Descoperirea trage un semnal de alarmă pentru proprietarii de modele flagship Samsung: Galaxy S22, S23, S24 și chiar Z Fold 4 și Z Flip 4 apar printre ținte, potrivit analizei Unit 42. Malware-ul oferă acces la istoricul de navigare, înregistrări ale apelurilor și sunet, urmărirea locației și acces la fotografii, contacte, mesaje SMS, jurnale de apeluri și fișiere. Pe scurt, o listă lungă de elemente ale vieții digitale ale căror confidențialitate ar fi compromisă.
Cercetătorii au găsit indicii asupra unor posibile țări vizate: probele analizate în VirusTotal sugerează Irak, Iran, Turcia și Maroc. Infrastructura domeniilor de comandă și control și modelele de înregistrare seamănă cu operațiuni observate anterior sub numele Stealth Falcon, asociate Emiratelor Arabe Unite. Un alt indiciu este o componentă de încărcare denumită Bridge Head, un nume întâlnit frecvent la spyware comercial dezvoltat de furnizori precum NSO Group, Variston, Cytrox sau Quadream. Totuși, până acum LandFall nu a fost atribuit în mod concludent vreunui vendor sau grup cunoscut.
CISA a inclus CVE-2025-21042 în catalogul Known Exploited Vulnerabilities, liste care marchează bug-uri exploatate activ, și a ordonat agențiilor federale civile (FCEB) să-și securizeze dispozitivele Samsung până la 1 decembrie, oferind un termen de aproximativ trei săptămâni, conform directivei obligatorii BOD 22-01. Agențiile vizate sunt organizații non-militare din ramura executivă, precum Departamentul Energiei, Trezoreria, Homeland Security și Sănătate și Servicii Umane.
Deși obligația e adresată doar agențiilor federale, CISA recomandă firmelor și publicului larg să aplice patch-urile cât mai repede. Agenția subliniază că astfel de vulnerabilități sunt vectori frecvent folosiți de actorii malițioși și prezintă riscuri semnificative pentru infrastructura federală. Recomandarea oficială include aplicarea mitigărilor sugerate de furnizor, respectarea ghidurilor BOD 22-01 pentru serviciile cloud sau chiar renunțarea la produs dacă nu există soluții disponibile.
Acest episod nu este singular: în septembrie, Samsung a reparat o altă problemă în aceeași bibliotecă libimagecodec.quram.so, CVE-2025-21043, folosită și ea în atacuri zero-day asupra dispozitivelor Android. Ritmul acestor actualizări reflectă cât de rapid apar breșele în software-ul complex și cât de prompt trebuie să reacționeze producătorii și utilizatorii.
Detaliile privind CVE-2025-21042, modelele afectate (Galaxy S22, S23, S24, Z Fold 4, Z Flip 4) și posibilele legături cu operațiuni precum Stealth Falcon oferă o imagine clară a riscului și a răspunsului solicitat de autorități. Strategia practică rămâne simplă: instalați actualizările de securitate furnizate de Samsung și urmați recomandările CISA, în special dacă administrați dispozitive în mediul federal sau organizațional. Securitatea mobilă nu înseamnă doar protejarea unui telefon, ci a datelor personale și profesionale pe care le purtăm în buzunar.
Unit 42 a identificat exploatări începând din iulie 2024, iar patch-ul Samsung a fost publicat în aprilie, ceea ce indică o fereastră în care atacatorii au profitat de vulnerabilitate. CISA cere remedierea până la 1 decembrie pentru agențiile federale civile; patch-urile sunt deja disponibile, iar instalarea lor reduce riscul de compromitere prin imagini DNG trimise prin WhatsApp. În paralel, legăturile tehnologice și de denumire, precum Bridge Head, ridică semne de întrebare despre industria comercială a spyware-ului și despre modul în care instrumentele similare circulă între actori sponsori de stat și furnizori comerciali.
Cât de pregătit este ecosistemul tech pentru a preveni astfel de atacuri? Samsung, Meta/WhatsApp, Unit 42 și CISA sunt actori-cheie în acest caz, iar datele și modelele vizate arată concret ce este în joc: dispozitive specifice și o dată-limită clară, 1 decembrie. Următorii pași depind de viteza cu care organizațiile și utilizatorii aplică remedierile și de transparența investigațiilor asupra originilor LandFall. Este o lecție practică despre importanța actualizărilor la timp și despre volumul de informații personale care pot fi compromise printr-un fișier aparent inofensiv.
Crezi că producătorii de telefoane și platformele de mesagerie reacționează suficient de rapid când apar astfel de vulnerabilități?
Fii primul care comentează