Una descompostura de seguridad ahora parcheada en los dispositivos Android Samsung Galaxy fue explotada como un día cero para entregar un software infiltrado de Android de “escalón comercial” denominado RECALADA en ataques selectivos en Oriente Medio.
La actividad consistió en la explotación de CVE-2025-21042 (Puntuación CVSS: 8,8), una descompostura de escritura fuera de límites en el componente “libimagecodec.quram.so” que podría permitir a atacantes remotos ejecutar código injustificado, según la Dispositivo 42 de Palo Parada Networks. Samsung solucionó el problema en abril de 2025.
“Esta vulnerabilidad fue explotada activamente en la naturaleza ayer de que Samsung la parcheara en abril de 2025, luego de informes de ataques en la naturaleza”, dijo la Dispositivo 42. Los objetivos potenciales de la actividad, rastreada como CL-UNK-1054, se encuentran en Irak, Irán, Turquía y Marruecos según los datos enviados por VirusTotal.
El mejora se produce cuando Samsung reveló en septiembre de 2025 que otra descompostura en la misma biblioteca (CVE-2025-21043, puntuación CVSS: 8.8) todavía había sido explotada en la naturaleza como un día cero. No hay evidencia de que esta descompostura de seguridad se haya utilizado como pertrechos en la campaña LANDFALL.
Se evalúa que los ataques implicaron el remesa a través de WhatsApp de imágenes maliciosas en forma de archivos DNG (Digital Negative), con evidencia de muestras de LANDFALL que se remontan al 23 de julio de 2024. Esto se friso en artefactos DNG con nombres como “Imagen de WhatsApp 2025-02-10 a las 4.54.17 PM.jpeg” e “IMG-20240723-WA0000.jpg”.
LANDFALL, una vez instalado y ejecutado, actúa como una utensilio de espionaje integral, capaz de compendiar datos confidenciales, incluida la compacto del micrófono, la ubicación, las fotos, los contactos, los SMS, los archivos y los registros de llamadas. Se dice que la esclavitud de explotación probablemente implicó el uso de un enfoque de cero clic para activar la explotación de CVE-2025-21042 sin requerir ninguna interacción del becario.
 |
| Diagrama de flujo del software infiltrado LANDFALL |
Vale la pena señalar que casi al mismo tiempo WhatsApp reveló que una descompostura en su aplicación de correo para iOS y macOS (CVE-2025-55177, puntuación CVSS: 5.4) se encadenó anejo con CVE-2025-43300 (puntuación CVSS: 8.8), una descompostura en Apple iOS, iPadOS y macOS, para potencialmente apuntar a menos de 200 usuarios como parte de una campaña sofisticada. Desde entonces, Apple y WhatsApp han solucionado los fallos.
 |
| Cronología de archivos de imágenes DNG maliciosos recientes y actividad de explotación asociada |
El exploración de la Dispositivo 42 de los archivos DNG descubiertos muestra que vienen con un archivo ZIP incrustado adjunto al final del archivo, y el exploit se utiliza para extraer una biblioteca de objetos compartidos del archivo para ejecutar el software infiltrado. Asimismo está presente en el archivo otro objeto compartido que está diseñado para manipular la política SELinux del dispositivo para otorgar permisos elevados a LANDFALL y allanar la persistencia.
El objeto compartido que carga LANDFALL todavía se comunica con un servidor de comando y control (C2) a través de HTTPS para ingresar a un onda de baliza y percibir cargas bártulos de la ulterior etapa no especificadas para su posterior ejecución.
Actualmente no se sabe quién está detrás del software infiltrado o de la campaña. Dicho esto, la Dispositivo 42 dijo que la infraestructura C2 de LANDFALL y los patrones de registro de dominio encajan con los de Stealth Falcon (todavía conocido como FruityArmor), aunque, a partir de octubre de 2025, no se han detectado superposiciones directas entre los dos grupos.
“Desde la aparición original de las muestras en julio de 2024, esta actividad destaca cómo los exploits sofisticados pueden permanecer en repositorios públicos durante un período prolongado ayer de comprenderse completamente”, dijo la Dispositivo 42.
