O alertă cibernetică de nivel critic a fost emisă în Statele Unite, CISA obligând toate agențiile federale să instaleze imediat patch‑urile pentru vulnerabilitatea Samsung CVE‑2025‑21042, exploatată printr-un spyware denumit LandFall. Vulnerabilitatea permite atacuri zero‑day prin imagini DNG trimise pe WhatsApp, iar consecințele sunt compromiterea completă a telefoanelor Android afectate.

Vulnerabilitatea Samsung, identificată ca CVE‑2025‑21042, se află în biblioteca libimagecodec.quram.so a sistemului de operare Galaxy. Defectul permite execuție de cod arbitrar, oferind atacatorului control total asupra dispozitivului. Această vulnerabilitate a fost inclusă în catalogul CISA de Known Exploited Vulnerabilities, impunând remedierea până la 1 decembrie 2025.

Conform Unit 42 de la Palo Alto Networks, atacatorii trimit imagini DNG infectate prin WhatsApp. La primirea fișierului, codul malițios exploatează eroarea din biblioteca Samsung și instalează spyware‑ul LandFall fără intervenția utilizatorului. Metoda de distribuție utilizează ingineria socială și rețeaua de mesagerie instant.

LandFall are capabilități extinse: acces la istoricul de navigare, înregistrarea apelurilor și a convorbirilor audio, urmărirea locației, colectarea fotografiilor, contactelor, mesajelor, jurnalelor de apel și fișierelor. În esență, telefonul devine un dispozitiv complet compromis, fără semne vizibile pentru utilizator.

Atacurile au început în iulie 2024, deși Samsung a emis un patch în aprilie, după sesizarea echipelor de securitate WhatsApp și Meta. Hackerii au exploatat vulnerabilitatea luni de zile, iar prima variantă a fost detectată de autorități abia în septembrie 2025. În această perioadă, vulnerabilitatea a rămas necorectată pe numeroase dispozitive în mediul civil.

Analiza datelor de la VirusTotal arată că principalele ținte se află în Irak, Iran, Turcia și Maroc. Infrastructura utilizată prezintă similarități cu operaţiunile grupării cibernetice Stealth Falcon, asociată anterior Emiratelor Arabe Unite. Această corespondență sugerează posibilă sponsorizare de stat, deși nu există confirmări definitive.

Denumirile interne ale componentelor LandFall, cum ar fi “Bridge Head”, reflectă un tipar comun în suitele comerciale de spyware dezvoltate de NSO Group, Variston, Cytrox și Quadream. Unit 42 nu a stabilit o legătură directă cu vreun furnizor cunoscut, lăsând deschisă originea exactă a malware‑ului.

CISA avertizează: riscuri majore pentru securitatea națională

CISA a emis Binding Operational Directive 22‑01, cerând agențiilor federale să aplice imediat patch‑urile Samsung pentru toate modelele vulnerabile. Directiva obligă adoptarea actualizărilor în termen de trei săptămâni și recomandă măsuri de atenuare pentru echipamentele ce nu pot fi actualizate.

Recomandările CISA includ:
– Instalarea patch‑ului pentru CVE‑2025‑21042 pe toate dispozitivele Samsung.
– Deconectarea temporară a telefoanelor neactualizate din rețele sensibile.
– Aplicarea setărilor de mitigare furnizate de Samsung pentru a restricționa execuția codului din fișiere media.
– Monitorizarea traficului de mesagerie pentru fișiere DNG suspecte.

În septembrie 2025, Samsung a divulgat și o a doua vulnerabilitate critică, CVE‑2025‑21043, în aceeași bibliotecă libimagecodec.quram.so, exploatată și ea prin atacuri zero‑day. Experții recomandă vigilență sporită pentru orice fișier media primit prin aplicații de mesagerie.

LandFall, un nou exemplu al evoluției spyware‑ului global

LandFall ilustrează tendința creșterii accesibilității tehnologiilor de spionaj digital, care nu mai sunt exclusive statelor, ci sunt utilizate de grupări private și comerciale. Folosirea imaginilor DNG ca vector de infecție subliniază nivelul avansat de inginerie socială și exploatare a vulnerabilităților de sistem.

Samsung a confirmat că patch‑urile de securitate au fost lansate pentru modelele Galaxy S22, S23, S24, Z Fold 4 și Z Flip 4. Utilizatorii trebuie să verifice că sistemul de operare este actualizat la ultima versiune disponibilă, deoarece actualizările nu sunt opționale în contextul amenințărilor actuale.

Monitorizarea continuă a vulnerabilităților și instalarea promptă a actualizărilor reprezintă cele mai eficiente măsuri de protecție împotriva exploatărilor zero‑day și a spyware‑ului avansat precum LandFall.