LandFall: фоточка, что ломает Галактики

Короче, ребята из Unit 42 вытащили из тени нового зверя — шпионский фреймворк LandFall, который раздавал Samsung'ам люлей через WhatsApp. Да-да, просто картинка в чате, и твоя Галактика превращается в тостер, исполняющий произвольный код. Эксплойт юзал нулёвку CVE-2025-21042 в libimagecodec.quram.so, и это был прям фулл-комбо — OOB write, рут, слежка, и никакого consent-а.

Фишка в том, что payload был спрятан в .DNG-файле с припаянным в хвост .ZIP’ом — такой себе imageception. Загружаешь фоточку, а у тебя на борту уже b.so (лоадер для доп. модулей) и l.so (манипулятор SELinux, который ломает систему безопасности, как школьник — дневник). После этого устройство открывает все двери: микрофон, звонки, гео, контакты, фотки, SMS — basically всё, что ты хотел бы оставить в тайне от бывшей и государства.

Заражались в основном Galaxy S22–S24 и Z Fold/Flip 4, но S25, похоже, выжил — патч завезли в апреле, хотя операция шла ещё с июля 2024-го. Жертвы в основном сидели на Востоке — Ирак, Иран, Турция, Марокко. C2-сервера светились на радарах турецкого CERT’а, а стиль инфраструктуры намекал на тёплый привет из ОАЭ.

Кто за этим стоит — мутно, но фингерпринты слегка NSO-подобные: компоненты с названием “Bridge Head”, модульность и та самая атмосфера «слежу за тобой, бро». Возможно, это чей-то комбо-франкеншпион из кусков Variston, Cytrox и Quadream.