„Landfall“: komercijalni špijunski softver iskoristio zero-day ranjivost na Samsung uređajima
Posljedice kompromitacije su ozbiljne: LANDFALL je, kako ga opisuju istraživači, sposoban za prikupljanje mikrofonskih zapisa, lokacije, fotografija, imenika i evidencije poziva — dakle potpuni nadzor nad uređajem.
Sigurnosni istraživači otkrili su da je ranjivost u Samsungovoj biblioteci za obradu slika — praćena kao CVE-2025-21042 — korištena mjesecima u zero-day napadima kojima je cilj bio instalirati komercijalni špijunski softver nazvan LANDFALL na neke Galaxy uređaje. Napadi su, prema dostupnim izvještajima, trajali od sredine 2024. godine sve do ispravke koju je Samsung objavio u aprilu 2025. godine.
Istraživači iz Palo Alto Networks (Unit 42) opisuju lanac napada koji je zloupotrijebio grešku u komponenti nazvanoj libimagecodec.quram.so, što omogućava upis izvan granica memorije i daljinsko izvršavanje koda — drugim riječima, napadač može preuzeti kontrolu nad uređajem slanjem posebno oblikovane slike. U dokumentaciji Unit 42 nalazi se detaljan tehnički pregled operacije i uzorci koje su pratili istraživači.
Način dostave bio je podmukao: zlonamjerne DNG (Digital Negative) datoteke maskirane kao uobičajene slike slane su preko WhatsAppa, a postoje indikacije da su u nekim slučajevima žrtve inficirane bez potrebe za dodatnim radnjama — što se opisuje kao mogući „zero-click“ vektor. Napadnuti modeli uključivali su popularne Galaxy serije (S22, S23, S24, Z Fold4, Z Flip4), dok najnoviji flagship modeli nisu bili pogođeni prema objavljenim podacima.
Posljedice kompromitacije su ozbiljne: LANDFALL je, kako ga opisuju istraživači, sposoban za prikupljanje mikrofonskih zapisa, lokacije, fotografija, imenika i evidencije poziva — dakle potpuni nadzor nad uređajem. Zbog aktivne eksploatacije CISA je ranjivost uvrstila u svoj Known Exploited Vulnerabilities (KEV) katalog i naredila američkim federalnim agencijama da primijene popravke ili izuzmu zaražene uređaje iz upotrebe do 1. decembra 2025.
Stručnjaci upozoravaju da je ovakva kampanja tipična za profesionalne napadače i da često cilja određene regije ili grupe korisnika — izvještaji ukazuju na žrtve u zemljama Bliskog istoka i Sjeverne Afrike (Irač, Iran, Turska, Maroko). Palo Alto Networks i drugi izvori pozivaju korisnike da odmah instaliraju sve dostupne sigurnosne ispravke, izbjegavaju otvaranje nepoznatih privitaka i koriste provjerene sigurnosne alate.
Ovaj slučaj podsjeća da i naizgled „bezazlene“ slike mogu biti nosači teških prijetnji te naglašava važnost brzog objavljivanja ispravki i proaktivne politke upravljanja uređajima u organizacijama. Dok proizvođači sustava i aplikacija rade na otklanjanju sličnih propusta, preporuka je korisnicima da redovno ažuriraju software i budu oprezni s datotekama poslanim putem poruka — čak i od poznanika.
