A Samsung corrigiu de forma silenciosa uma vulnerabilidade crítica nos celulares Galaxy que vinha sendo explorada para instalar o spyware LANDFALL, segundo detalhamento técnico publicado pelo Google Threat Intelligence Group.
O bug, rastreado como CVE-2025-21042, reside na biblioteca de processamento de imagens Quram (libimagecodec.quram.so) e permite execução remota de código ao processar uma imagem DNG especialmente criada, frequentemente entregue com aparência de foto comum via WhatsApp.
A falha e o vetor de ataque
A vulnerabilidade CVE-2025-21042 afeta a biblioteca Quramusado por aparelhos Galaxy para decodificar formatos como DNG dentro de processos de sistema responsáveis por recursos “inteligentes”.
Pesquisadores identificaram seis arquivos DNG suspeitos enviados ao VirusTotal entre julho de 2024 e fevereiro de 2025, todos abusando da mesma falha no Quram para atingir o processo com.samsung.ipservice, que analisa automaticamente imagens salvas no dispositivo.
Esses arquivos vinham mascarados como fotos comuns com nomes típicos do WhatsApp, como “IMG-20240723-WA0000.jpg” e “WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg”, mas internamente eram DNGs manipulados com milhares de opcodes maliciosos para explorar o bug.
Ao serem baixadas e processadas pelo sistema, as imagens corrompidas permitem que o pesquisador execute código arbitrário no contexto do serviço Samsung, abrindo caminho para a instalação de spyware.
Spyware LANDFALL e alvos
A Palo Alto Networks contrata que a falha foi usada para distribuir o spyware comercial LANDFALL, desenvolvido especificamente para dispositivos Samsung Galaxy.
A campanha teve foco na espionagem na região do Oriente Médio, com alvos principalmente na Turquia, Marrocos, Irã e Iraque, segundo os pesquisadores.
Uma vez instalado, o LANDFALL oferece capacidades completas de vigilância, incluindo ativação remota do microfone, rastreamento de localização e exfiltração de dados como fotos, contatos e registros de chamadas.
O spyware chega oculto dentro de um arquivo DNG que carrega um ZIP embutido com bibliotecas .so maliciosas, responsáveis por contornar políticas de segurança e manter persistência no aparelho.
Linha do tempo e resposta da Samsung
O Google relata que só conseguiu ligar os DNGs ao exploit graças a uma indicação da Meta, o que levou à análise detalhada do bug no Quram e da cadeia de exploração.
A vulnerabilidade foi corrigida pela Samsung no pacote de segurança de abril de 2025 (SMR Apr-2025 Release 1), mas sem grande alarme público na época.
A existência do CVE-2025-21042 só foi divulgada em setembro, quando a Samsung atualizou seus boletins, e posteriormente o identificador entrou no catálogo de vulnerabilidades exploradas da CISA.
Segundo o Google, o fabricante informou que o patch para essa falha já foi distribuído para todos os modelos ainda suportados, embora muitos aparelhos Galaxy recebam correções apenas de forma trimestral ou semestral, prolongando a janela de exposição para parte da base instalada.
Riscos e recomendações para usuários Galaxy
Como o ataque explora o simples processamento de uma imagem DNG maliciosa, o risco não se limita à interação consciente do usuário; em determinados cenários, basta que o arquivo seja baixado e estudado pelo sistema para que a exploração ocorra.
Por isso, os usuários do Galaxy devem garantir que o aparelho esteja com o patch de segurança de abril de 2025 ou posterior instalado e evitar manter dispositivos desatualizados que só recebem correções em ciclos mais longos.
Para ambientes de maior risco, é preciso combinar a atualização de firmwares com políticas de MDM/EDR em Android corporativo, monitorando processamento de mídia, uso anômalo de bibliotecas Quram e tráfego de rede compatível com C2 de spyware móvel.
