Una error de seguridad ahora parcheada en los dispositivos Android Samsung Galaxy fue explotada como un día cero para entregar un software informador de Android de «porción comercial» denominado RECALADA en ataques selectivos en Oriente Medio.
La actividad consistió en la explotación de CVE-2025-21042 (Puntuación CVSS: 8,8), una error de escritura fuera de límites en el componente «libimagecodec.quram.so» que podría permitir a atacantes remotos ejecutar código parcial, según la Dispositivo 42 de Palo Detención Networks. Samsung solucionó el problema en abril de 2025.
«Esta vulnerabilidad fue explotada activamente en la naturaleza antaño de que Samsung la parcheara en abril de 2025, luego de informes de ataques en la naturaleza», dijo la Dispositivo 42. Los objetivos potenciales de la actividad, rastreada como CL-UNK-1054, se encuentran en Irak, Irán, Turquía y Marruecos según los datos enviados por VirusTotal.
El crecimiento se produce cuando Samsung reveló en septiembre de 2025 que otra error en la misma biblioteca (CVE-2025-21043, puntuación CVSS: 8.8) igualmente había sido explotada en la naturaleza como un día cero. No hay evidencia de que esta error de seguridad se haya utilizado como arsenal en la campaña LANDFALL.
Se evalúa que los ataques implicaron el giro a través de WhatsApp de imágenes maliciosas en forma de archivos DNG (Digital Negative), con evidencia de muestras de LANDFALL que se remontan al 23 de julio de 2024. Esto se zócalo en artefactos DNG con nombres como «Imagen de WhatsApp 2025-02-10 a las 4.54.17 PM.jpeg» e «IMG-20240723-WA0000.jpg».
LANDFALL, una vez instalado y ejecutado, actúa como una utensilio de espionaje integral, capaz de compendiar datos confidenciales, incluida la vídeo del micrófono, la ubicación, las fotos, los contactos, los SMS, los archivos y los registros de llamadas. Se dice que la sujeción de explotación probablemente implicó el uso de un enfoque de cero clic para activar la explotación de CVE-2025-21042 sin requerir ninguna interacción del legatario.
 |
| Diagrama de flujo del software informador LANDFALL |
Vale la pena señalar que casi al mismo tiempo WhatsApp reveló que una error en su aplicación de transporte para iOS y macOS (CVE-2025-55177, puntuación CVSS: 5.4) se encadenó cercano con CVE-2025-43300 (puntuación CVSS: 8.8), una error en Apple iOS, iPadOS y macOS, para potencialmente apuntar a menos de 200 usuarios como parte de una campaña sofisticada. Desde entonces, Apple y WhatsApp han solucionado los fallos.
 |
| Cronología de archivos de imágenes DNG maliciosos recientes y actividad de explotación asociada |
El exploración de la Dispositivo 42 de los archivos DNG descubiertos muestra que vienen con un archivo ZIP incrustado adjunto al final del archivo, y el exploit se utiliza para extraer una biblioteca de objetos compartidos del archivo para ejecutar el software informador. Todavía está presente en el archivo otro objeto compartido que está diseñado para manipular la política SELinux del dispositivo para otorgar permisos elevados a LANDFALL y suministrar la persistencia.
El objeto compartido que carga LANDFALL igualmente se comunica con un servidor de comando y control (C2) a través de HTTPS para ingresar a un tirabuzón de baliza y admitir cargas efectos de la futuro etapa no especificadas para su posterior ejecución.
Actualmente no se sabe quién está detrás del software informador o de la campaña. Dicho esto, la Dispositivo 42 dijo que la infraestructura C2 de LANDFALL y los patrones de registro de dominio encajan con los de Stealth Falcon (igualmente conocido como FruityArmor), aunque, a partir de octubre de 2025, no se han detectado superposiciones directas entre los dos grupos.
«Desde la aparición auténtico de las muestras en julio de 2024, esta actividad destaca cómo los exploits sofisticados pueden permanecer en repositorios públicos durante un período prolongado antaño de comprenderse completamente», dijo la Dispositivo 42.
