Landfall 間諜軟體鎖定三星手機用戶，透過 WhatsApp 圖檔攻擊

資安研究人員揭露一起針對三星 Galaxy 系列手機的間諜軟體攻擊活動。攻擊者利用零時差漏洞搭配惡意圖檔，透過 WhatsApp 訊息入侵目標裝置並進行全方位監控。這起攻擊從 2024 年 7 月持續至 2025 年 4 月，主要鎖定中東地區用戶。

透過 DNG 圖檔傳播的商業級間諜工具

Palo Alto Networks 旗下的 Unit 42 研究團隊發現名為 Landfall 的間諜軟體，並發布分析報告。攻擊者利用 CVE-2025-21042 漏洞：一個存在於三星圖像處理函式庫(image processing library)中的嚴重缺陷，將惡意程式碼包裝成 DNG(Digital Negative)格式的原始圖檔進行傳播。

這個漏洞位於 libimagecodec.quram.so 元件中，屬於越界寫入（out-of-bounds write）類型缺陷，讓攻擊者能夠遠端執行任意程式碼。三星已在今年 4 月修補此漏洞，但攻擊活動在修補前已持續至少 9 個月。

根據上傳至 VirusTotal 的樣本分析，這些惡意 DNG 檔案的檔名顯示出 WhatsApp 傳播特徵，例如「WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg」和「IMG-20240723-WA0000.jpg」。研究人員推測攻擊者主要透過 WhatsApp 將武器化圖檔傳送給目標用戶，而受害者分布在伊拉克、伊朗、土耳其和摩洛哥等中東國家。

全方位監控功能與反偵測機制

Landfall 具備商業級間諜軟體的完整監控能力。一旦成功植入目標裝置，可以執行多項監控功能，包括錄音、位置追蹤、拍照、存取聯絡人資料、簡訊內容、通話記錄、檔案系統以及瀏覽器歷史記錄等。

從技術層面來看，惡意 DNG 檔案內嵌了一個 ZIP 壓縮檔。當漏洞被觸發後，攻擊程式會從壓縮檔中提取兩個關鍵元件：載入器（loader）b.so 負責擷取並載入額外的模組；SELinux 政策操縱工具 l.so 則用於修改裝置的安全設定，以提升權限並建立持久性。

Landfall 內建多重反分析機制，能夠偵測資安研究人員的檢查、識別除錯環境、偵測常見的逆向工程框架，並自動提升權限。這些技術特徵顯示出明顯的商業級開發水準。此外，該惡意軟體會對裝置進行指紋辨識（fingerprinting），收集 IMEI、IMSI、SIM 卡號碼、用戶帳號、藍牙資訊、定位服務狀態及已安裝應用程式清單等資訊。

研究顯示，這款間諜軟體特別針對三星 Galaxy S22、S23、S24 系列，以及 Z Fold 4 和 Z Flip 4 等旗艦機型優化，但不包括最新的 S25 系列。

與其他平台攻擊活動的關聯

Unit 42 在追蹤 iOS 裝置惡意活動時，意外發現了 Landfall。研究人員調查 CVE-2025-43300（影響 Apple iOS 的 DNG 圖像解析元件漏洞）時，發現了類似的攻擊模式。WhatsApp 隨後通報了 CVE-2025-55177 漏洞，攻擊者將其與 iOS 漏洞串連使用，強制受感染裝置處理來自攻擊者控制的 URL 內容。

今年 9 月，WhatsApp 也向三星通報了類似的 CVE-2025-21043 漏洞。這些發現顯示攻擊者採用跨平台協同攻擊策略，同時針對 iOS 和 Android 裝置的圖像處理漏洞進行利用。

研究人員識別出至少 6 台與 Landfall 相關的 C2 伺服器。這些基礎設施與另一個名為 Stealth Falcon（又稱 FruityArmor）的針對性間諜軟體活動存在多處重疊。間接證據顯示 Stealth Falcon 可能與阿拉伯聯合大公國政府有關，但尚未獲得證實。部分 C2 伺服器已被土耳其 CERT 標記為惡意活動。

另一個值得注意的線索是，載入器元件使用了「Bridge Head」這個命名慣例。這種命名方式常見於 NSO Group、Variston、Cytrox 和 Quadream 等商業間諜軟體供應商的產品中。不過，研究人員目前仍無法將 Landfall 明確歸屬於任何已知的威脅組織或間諜軟體廠商。

商業間諜軟體的持續威脅

這起攻擊活動反映出政府、情報機構和執法單位近年來日益仰賴商業間諜軟體工具，用於監控民權運動者、政治對手、智庫和記者等目標。知名的商業間諜軟體包括 NSO Group 的 Pegasus、Cytox/Intellexa 的 Predator，以及 Gamma 的 FinFisher FinSpy。

Google 去年指出，2014 年至 2023 年間，商業監控廠商產品中發現的零時差漏洞，約佔所有零時差漏洞的一半。10 月，美國聯邦法院法官正式禁止 NSO Group 對 WhatsApp 進行逆向工程以傳播間諜軟體。

自 2024 年 7 月首次出現樣本以來，這起攻擊活動凸顯出一個問題：複雜的漏洞利用程式可以在公開儲存庫中長期存在，直到被完全理解。美國網路安全暨基礎設施安全局（CISA）已於 11 月 10 日將 CVE-2025-21042 納入已知遭利用漏洞目錄，要求聯邦民間行政部門機構必須在 12 月 1 日前完成修補。

防護建議

為防範間諜軟體攻擊，使用者應採取以下措施：

• 立即為行動裝置作業系統和應用程式套用安全更新
• 在通訊軟體中停用自動下載媒體檔案的功能
• 考慮啟用 Android 的進階保護功能（Advanced Protection）或 iOS 的鎖定模式（Lockdown Mode）
• 對來路不明的圖片或檔案保持警覺，特別是 DNG 等較不常見的檔案格式
• 定期檢查裝置是否出現異常行為，例如電池快速耗電或不明的背景活動

專家表示，由於三星已在 2025 年 4 月修補此漏洞，這個特定的漏洞利用程式已不再使用。然而，直到 8 月和 9 月，研究人員仍觀察到針對三星和 iOS 裝置的相關漏洞利用鏈，顯示類似的攻擊活動持續到最近才停止。此外，部分可能與 Landfall 相關的基礎設施仍在線上運作，這意味著同一操作者可能正在進行後續活動。

本文轉載自 DarkReading、TheHackerNews、BleepingComputer。