Pesquisadores da Palo Alto Networks identificaram que os caçadores exploraram a vulnerabilidade CVE-2025-21042 para entregar o spyware Landfall a donos de dispositivos Samsung por meio de arquivos de imagem especialmente manipulados. O foco dos ataques foi em usuários no Oriente Médio e Norte da África.
Zero-day sem processamento de imagens e distribuição via WhatsApp
Ó Aterrissagem infectou celulares das linhas Galaxy S22, S23, S24, Z Fold4 e Z Flip4 por meio da exploração de uma falha na biblioteca de processamento de imagens da Samsung. O ataque envolveu o envio, via WhatsApp, de um arquivo de imagem DNG capaz de executar código remotamente no aparelho, ambiente sem nenhuma interação do usuário, caracterizando um “zero-click exploit”.
A vulnerabilidade foi corrigida pela Samsung em abril de 2025, mas o fabricante não encontrou casos de exploração ativa no comunicado. Segundo a Palo Alto, as campanhas de ataques iniciaram em julho de 2024, utilizando o CVE-2025-21042 como zero-day antes da disponibilização dos patches.
Recursos de espionagem e vasta coleta de dados
Uma vez instalado, o spyware Landfall permite gravação de áudio, rastreamento de localização e exfiltração de dados. Fotos, contatos, registros de chamadas e outras informações sensíveis podem ser furtadas remotamente. O malware opera em segundo plano, dando total visibilidade ao ataque sobre as atividades do usuário.
Vulnerabilidades semelhantes e no contexto global
O CVE-2025-21042 é semelhante ao CVE-2025-21043, outra falha crítica presente na mesma biblioteca e também explorada para instalar spyware. Antes dessas descobertas, a Apple já havia corrigido o CVE-2025-43300, relacionado a ataques sofisticados que combinavam vulnerabilidades do iOS e do WhatsApp.
Embora haja vínculos com grupos como Stealth Falcon e acusações de relacionamento com fornecedores comerciais de spyware como NSO, Variston e Cytrox, a Palo Alto Networks não atribuiu o Landfall a nenhum grupo de espionagem específico.
Alvos e escala regional dos ataques
As amostras comprovadas sugerem que o Landfall foi usado contra indivíduos em países como Irã, Iraque, Turquia e Marrocos. O caso reforça a importância de aplicar atualizações de segurança imediatamente em dispositivos móveis, principalmente onde há risco elevado de vigilância digital e ataques direcionados.
