Source et contexte — Unit 42 (Palo Alto Networks) publie une recherche détaillant « LANDFALL », une nouvelle famille de spyware Android de grade commercial visant des appareils Samsung Galaxy. L’implant est livré via des fichiers image DNG malformés, probablement sur WhatsApp, exploitant une vulnérabilité zero‑day dans la bibliothèque d’imagerie de Samsung (CVE‑2025‑21042, SVE‑2024‑1969), observée in‑the‑wild avant le patch d’avril 2025. Une vulnérabilité similaire (CVE‑2025‑21043, SVE‑2025‑1702) a été corrigée en septembre 2025. En parallèle, un chaînage d’exploits sur iOS (CVE‑2025‑43300) et WhatsApp (CVE‑2025‑55177) a été divulgué à l’été 2025.

Nature de l’attaque et portée 📱 — La campagne cible des Samsung Galaxy (S22/S23/S24, Z Fold4, Z Flip4) avec une livraison potentiellement zero‑click via DNG. Les images DNG contiennent un ZIP embarqué d’où sont extraits des .so, dont un loader (b.so, “Bridge Head”) et un manipulateur de politique SELinux (l.so), permettant élévation de privilèges, persistance et déploiement de modules. Les capacités visées incluent surveillance micro, géolocalisation, collecte photos/contacts/journaux d’appels, exfiltration de fichiers, anti‑analyse (Frida, Xposed) et communication C2 chiffrée et pinning certificat. La campagne a opéré discrètement durant des mois et vise des intrusions ciblées au Moyen‑Orient.

Infrastructure et liens écosystémiques 🧩 — L’infrastructure C2 (plusieurs IPs et domaines leurres) présente des similarités de « tradecraft » avec des opérations de PSOA au Moyen‑Orient et rappelle certains schémas observés autour de Stealth Falcon, sans attribution formelle. L’artefact « Bridge Head » reflète une nomenclature courante chez divers vendeurs de spyware commerciaux (p. ex. Variston), sans établir de lien direct. Unit 42 piste l’activité associée à CVE‑2025‑21042/LANDFALL sous l’identifiant interne CL‑UNK‑1054. Les soumissions VirusTotal suggèrent des cibles potentielles en Irak, Iran, Turquie et Maroc. Samsung a corrigé CVE‑2025‑21042 (avril 2025) et CVE‑2025‑21043 (septembre 2025).

IOCs (extraits) 🔎

  • IP C2: 194.76.224[.]127, 91.132.92[.]35, 92.243.65[.]240, 192.36.57[.]56, 46.246.28[.]75, 45.155.250[.]158
  • Domaines C2: brightvideodesigns[.]com, hotelsitereview[.]com, healthyeatingontherun[.]com, projectmanagerskills[.]com
  • Échantillons (SHA256, extraits):
    • b.so: d2fafc7100f33a11089e98b660a85bd479eab761b137cca83b1f6d19629dd3b0 ; 384f073d3d51e0f2e1586b6050af62de886ff448735d963dfc026580096d81bd
    • l.so: 69cf56ac6f3888efa7a1306977f431fd1edb369a5fd4591ce37b72b7e01955ee
    • DNG/WhatsApp images: 9297888746158e38d320b05b27b0032b2cc29231be8990d87bc46f1e06456f93 ; bc1c8983d066c0997756c0f30c2a2d6f95b57128e78dc0b7180e69315057e62809
  • Modèles ciblés: Galaxy S23/S24, S22, Z Fold4, Z Flip4

TTPs (principales) 🛠️

  • Exploitation de CVE‑2025‑21042 (libimagecodec.quram.so) via fichiers DNG malformés ; parallèle conceptuel avec CVE‑2025‑21043 (même librairie) et, côté iOS/WhatsApp, CVE‑2025‑43300 / CVE‑2025‑55177
  • Chaîne d’exploit potentiellement zero‑click via messagerie (WhatsApp), extraction de payloads .so depuis un ZIP embarqué
  • LD_PRELOAD, manipulation SELinux (chargement dynamique de règles), injection/DEX, persistance, surveillance du répertoire WhatsApp Media
  • Évasion/défense: détection TracerPid/Frida/Xposed, pinning TLS, espaces de noms dynamiques, nettoyage d’artefacts
  • C2: HTTPS sur port éphémère, POST initial avec métadonnées agent/appareil, pings pré‑HTTPS, délais/retries configurables

Conclusion — Publication de recherche d’Unit 42 décrivant en profondeur une campagne de spyware mobile, les vulnérabilités exploitées, l’infrastructure associée et des IOCs/TTPs, avec un focus sur l’analyse technique et la mise en contexte des correctifs déjà publiés.

🧠 TTPs et IOCs détectés

TTP

[‘Exploitation de CVE‑2025‑21042 via fichiers DNG malformés’, “Chaîne d’exploit potentiellement zero‑click via messagerie (WhatsApp)”, ‘Extraction de payloads .so depuis un ZIP embarqué’, ‘Utilisation de LD_PRELOAD’, ‘Manipulation SELinux (chargement dynamique de règles)’, ‘Injection/DEX et persistance’, ‘Surveillance du répertoire WhatsApp Media’, ‘Évasion/défense: détection TracerPid/Frida/Xposed’, ‘Pinning TLS’, ‘Espaces de noms dynamiques’, ‘Nettoyage d’artefacts’, ‘C2: HTTPS sur port éphémère’, ‘POST initial avec métadonnées agent/appareil’, ‘Pings pré‑HTTPS’, ‘Délais/retries configurables’]

IOC

{‘ip’: [‘194.76.224.127’, ‘91.132.92.35’, ‘92.243.65.240’, ‘192.36.57.56’, ‘46.246.28.75’, ‘45.155.250.158’], ‘domain’: [‘brightvideodesigns.com’, ‘hotelsitereview.com’, ‘healthyeatingontherun.com’, ‘projectmanagerskills.com’], ‘hash’: [‘d2fafc7100f33a11089e98b660a85bd479eab761b137cca83b1f6d19629dd3b0’, ‘384f073d3d51e0f2e1586b6050af62de886ff448735d963dfc026580096d81bd’, ‘69cf56ac6f3888efa7a1306977f431fd1edb369a5fd4591ce37b72b7e01955ee’, ‘9297888746158e38d320b05b27b0032b2cc29231be8990d87bc46f1e06456f93’, ‘bc1c8983d066c0997756c0f30c2a2d6f95b57128e78dc0b7180e69315057e62809’]}

🔗 Source originale : https://unit42.paloaltonetworks.com/landfall-is-new-commercial-grade-android-spyware/