Era solo questione di tempo. Dopo le rivelazioni di agosto su una sofisticata catena di exploit zero-click che sfruttava vulnerabilità nella elaborazione di immagini DNG su iOS, era inevitabile che qualcosa di simile emergesse anche nel mondo Android. E non si è fatto attendere. I ricercatori di Unit 42 di Palo Alto Networks hanno scoperto e analizzato un nuovo spyware di grado commerciale, battezzato LANDFALL, che ha sfruttato silenziosamente per mesi una zero-day nel library di elaborazione immagini di Samsung, CVE-2025-21042.
La storia inizia, come spesso accade, incrociando i fili di indagini apparentemente distinte. A seguito delle disclosure di agosto relative a CVE-2025-43300 di Apple e CVE-2025-55177 di WhatsApp, il team ha avviato una caccia ai campioni di quell’exploit chain. Questa ricerca, invece di portare ai campioni iOS attesi, ha fatto emergere dal buio diversi file immagine DNG malevoli, caricati su VirusTotal tra il 2024 e l’inizio del 2025, contenenti un payload Android precedentemente non rilevato. I nomi dei file, del tipo “WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg” e “IMG-20240723-WA0000.jpg”, suggerivano chiaramente un vettore di attacco legato all’applicazione di messaggistica.
L’analisi di questi file DNG malformati ha rivelato una tecnica ingegnosa. Alla fine del file immagine, perfettamente valido secondo gli standard, era appeso un archivio ZIP contenente i componenti dello spyware. Il trucco sta nel fatto che molte librerie di parsing delle immagini, leggendo il file fino alla fine dei metadata legittimi, ignorano il contenuto aggiuntivo. L’exploit, tuttavia, sfrutta proprio una vulnerabilità di memory corruption nella libreria libimagecodec.quram.so di Samsung per forzare l’estrazione e l’esecuzione di quel contenuto nascosto. Questa vulnerabilità, tracciata internamente da Samsung come SVE-2024-1969 e poi assegnata a CVE-2025-21042, è stata patchata con gli aggiornamenti di aprile 2025, dopo essere stata sfruttata in the wild.
Il payload estratto, LANDFALL, è uno spyware modulare di alto livello, progettato specificamente per dispositivi Samsung Galaxy. Il componente principale analizzato, un file shared object ELF ARM64 chiamato b.so e soprannominato “Bridge Head” negli artefatti di debug, funge da loader e backdoor iniziale. È un eseguibile strippato, di circa 106 KB, che comunica via HTTPS con una serie di C2 server su porte TCP non standard.
La sua configurazione è gestita attraverso una combinazione di valori hardcoded e un oggetto JSON cifrato embedded, contenente dettagli dei C2, chiavi crittografiche e identificatori univoci per l’agente e i comandi. All’avvio, b.so decifra questa configurazione, normalizza i valori mancanti con dei default e si assicura della presenza di una chiave pubblica X.509 DER. Poi, se eseguito con privilegi di root, prepara e carica un secondo componente, l.so, un manipolatore della policy SELinux. Questo non applica regole fisse, ma implementa un motore generico in grado di parsare e caricare dinamicamente nuove regole SELinux da una fonte esterna, modificando la policy in esecuzione in memoria per concedere a LANDFALL i permessi elevati di cui ha bisogno.
Le potenzialità di LANDFALL, desumibili dalle stringhe di debug e dai percorsi di esecuzione nel loader, sono piuttosto estese. Il framework sembra progettato per il fingerprinting completo del dispositivo, la raccolta di dati di ogni tipo e l’esecuzione di comandi arbitrari. Tra le funzionalità evidenziate ci sono la registrazione ambientale tramite microfono, l’intercettazione delle chiamate, l’exfiltration di cronologie, contatti, SMS, foto della galleria e file arbitrari. Mostra anche una spiccata attenzione all’evasione e alla persistenza, con capacità di rilevare framework di analisi come Frida e Xposed, manipolare lo spazio dei nomi delle librerie dinamiche e implementare certificate pinning per le comunicazioni C2.
La campagna, attiva almeno da luglio 2024, sembra aver preso di mira utenti in Medio Oriente, con Iraq, Iran, Turchia e Marocco tra le possibili localizzazioni delle vittime. L’infrastruttura di comando e controllo associata, costituita da server con domandi dall’aspetto innocuo come brightvideodesigns[.]com e healthyeatingontherun[.]com, condivide pattern con operazioni di spyware commerciale precedentemente attribuite a gruppi come Stealth Falcon.
Sebbene non vi sia una attribuzione diretta e certa, l’uso del termine “Bridge Head” e le somiglianze infrastrutturali suggeriscono un possibile legame con il mondo dei Private Sector Offensive Actors. Il nome “Bridge Head” è un nickname comune tra alcuni vendor PSOA, come NSO, Variston, Cytrox e Quadream, per indicare i loader di primo stadio. In particolare, richiama il framework Heliconia di Variston, un fornitore di exploit con base a Barcellona, che secondo i report di Google TAG riforniva clienti negli Emirati Arabi Uniti.
La scoperta di LANDFALL non è un caso isolato, ma piuttosto l’ennesima tessera di un mosaico più ampio. Evidenzia un trend preoccupante: lo sfruttamento di vulnerabilità critiche nelle librerie di elaborazione di immagini DNG su piattaforme mobili diverse. Poche settimane dopo la patch di Samsung per CVE-2025-21042, WhatsApp ha segnalato alla compagnia coreana un’altra vulnerabilità zero-day nello stesso library, CVE-2025-21043, patchata a settembre 2025. Parallelamente, ad agosto, Apple patchava CVE-2025-43300, una vulnerabilità DNG su iOS sfruttata in the wild in una catena che coinvolgeva proprio WhatsApp.
Questi eventi quasi simultanei dipingono il quadro di una corsa agli armamenti in cui gli attaccanti, molto probabilmente PSOA, stanno prendendo di mira un vettore comune su piattaforme diverse. Il fatto che LANDFALL sia rimasto attivo e non rilevato per mesi, nonostante i suoi campioni fossero presenti in repository pubblici, è un monito sulla discrepanza tra la visibilità delle minacce e la nostra capacità di comprenderle e neutralizzarle in tempo reale.
Per gli utenti Samsung che hanno applicato gli aggiornamenti di sicurezza di aprile e settembre 2025, il rischio diretto associato a questa campagna è ormai mitigato. Tuttavia, la storia di LANDFALL ci ricorda la sofisticazione e la persistenza delle minacce che prendono di mira i nostri dispositivi più personali, e l’importanza di un aggiornamento costante e tempestivo.