Phát hiện phần mềm gián điệp LANDFALL khai thác lỗ hổng zero-day trên thiết bị Samsung Galaxy

Một lỗ hổng nghiêm trọng trong thư viện hệ thống của Samsung Galaxy đã bị tin tặc lợi dụng để triển khai phần mềm gián điệp thương mại LANDFALL, đe dọa nghiêm trọng đến an ninh mạng và quyền riêng tư người dùng.

Theo báo cáo từ nhóm Palo Alto Networks Unit 42, một lỗ hổng bảo mật nghiêm trọng trong thiết bị Samsung Galaxy đã bị khai thác như zero-day, cho phép cài đặt phần mềm gián điệp tinh vi có tên LANDFALL. Lỗ hổng được theo dõi mã định danh CVE-2025-21042, thuộc thành phần libimagecodec.quram.so, có điểm CVSS 8.8, cho phép kẻ tấn công ghi dữ liệu vượt giới hạn bộ nhớ (out-of-bounds write) và thực thi mã tùy ý từ xa. Samsung đã phát hành bản vá từ tháng 4/2025, nhưng theo Mandiant, lỗ hổng đã bị khai thác trước khi bản vá được công bố.

Hoạt động tấn công, được theo dõi mã CL-UNK-1054, chủ yếu nhắm vào người dùng ở Iraq, Iran, Thổ Nhĩ Kỳ và Ma Rốc. Hacker được cho là gửi hình ảnh DNG độc hại qua WhatsApp, chứa mã khai thác ẩn trong phần đính kèm ZIP, từ đó tải về và kích hoạt phần mềm gián điệp LANDFALL. Các mẫu đầu tiên được ghi nhận từ tháng 7/2024, nhắm vào các dòng Galaxy S22, S23, S24, Z Fold 4 và Z Flip 4.

Sau khi được cài đặt, LANDFALL hoạt động như một bộ công cụ gián điệp toàn diện, có thể ghi âm, truy cập vị trí, ảnh, danh bạ, tin nhắn SMS, tệp tin và nhật ký cuộc gọi. Đặc biệt, nó còn thay đổi chính sách bảo mật SELinux của thiết bị để mở rộng quyền truy cập và duy trì sự tồn tại lâu dài trên hệ thống. LANDFALL liên lạc với máy chủ điều khiển (C2) qua giao thức HTTPS, nhận lệnh và tải xuống các thành phần bổ sung để mở rộng khả năng giám sát.

Dù chưa xác định được nhóm đứng sau chiến dịch này, các chuyên gia nhận định hạ tầng điều khiển và tên miền của LANDFALL có nhiều điểm tương đồng với nhóm Stealth Falcon (FruityArmor) – tổ chức gián điệp mạng khét tiếng chuyên nhắm mục tiêu vào các cá nhân và tổ chức tại Trung Đông.

Sự việc này nhấn mạnh nguy cơ của tấn công zero-click, khi nạn nhân có thể bị xâm nhập mà không cần bất kỳ hành động tương tác nào. Để giảm thiểu rủi ro, người dùng nên:

• Cập nhật thiết bị lên phiên bản mới nhất do Samsung phát hành.

• Tránh mở tệp hình ảnh hoặc đường link lạ, đặc biệt khi nhận qua WhatsApp hay các nền tảng nhắn tin khác.

• Cài đặt phần mềm bảo mật đáng tin cậy để phát hiện sớm mã độc.

• Theo dõi các dấu hiệu bất thường như tiêu hao pin nhanh, thiết bị nóng, hay ứng dụng không rõ nguồn gốc.

Các chiến dịch như LANDFALL cho thấy tội phạm mạng đang ngày càng tinh vi hơn, khai thác sâu vào hệ thống di động để đánh cắp dữ liệu cá nhân. Người dùng cần chủ động bảo vệ bảo mật, an ninh mạng, và quyền riêng tư của mình bằng việc duy trì cập nhật hệ thống và cảnh giác với mọi nội dung đáng ngờ.

Hương - Theo TheHackerNews