A Palo Alto Networks Unit 42 kutatói LANDFALL néven azonosítottak egy kereskedelmi szintű androidos kémprogramot, amely Samsung Galaxy eszközök ellen irányult, és legalább 2024 közepétől 2025 tavaszáig aktív volt. A kampány egy Samsung-komponens nulladik napi (CVE-2025-21042) sérülékenységét használta ki, a fertőzéshez elég lehetett egy rosszindulatú kép fogadása (valamilyen üzenetküldőn, tipikusan WhatsAppon). A támadások célzottak voltak, főként a Közel-Keleten.
Kontextus: miért fontos ez?
A LANDFALL ügye rávilágít, hogy a mobilplatformok – különösen a népszerű gyártók zászlóshajó-modelljei – a kifinomult megfigyelési ökoszisztémák elsődleges célpontjai. A „kattintásmentes” vagy minimális interakciót igénylő láncok (képdekóder-hibák, médiakezelő könyvtárak) széles körű jogosultságot adhatnak a támadónak, miközben a felhasználó semmit sem észlel.
Mi az újdonság lényege?
- Zero-day a képfeldolgozásban: a hibát (CVE-2025-21042) a libimagecodec.quram.so komponensben használták ki; a támadó rosszindulatú DNG képfájlokkal indította a láncot.
- Célzott, nem tömeges terjesztés: újságírók, aktivisták és egyéb nagy kockázatú profilok kerültek célkeresztbe a Közel-Keleten.
- Patchelt, de tanulságos: a sebezhetőséget 2025 áprilisában javította a Samsung; a LANDFALL mégis hónapokig észrevétlen maradt.
Hatások – felhasználóknak és szervezeteknek
A LANDFALL képességei között szerepelt a mikrofon-/hívásrögzítés, precíz helyadat-követés, fotók/kontaktok/naplók kinyerése. Vállalati oldalon ez kockázat a vezetői kommunikációra, a forrásvédelemre és az ellátási lánc biztonságára; fogyasztói oldalon pedig a magánszféra és a fiókkompromittálás veszélye nő.
Számok és adatok – összefoglaló táblázat
| Legfontosabb paraméter(ek) | CVE-2025-21042 (Samsung image codec); célzott kampány, Közel-Kelet fókusz; javítás: 2025. április |
|---|---|
| Támadási vektor | Rosszindulatú kép (DNG) üzenetküldőn (pl. WhatsApp) keresztül; minimális vagy nulla felhasználói interakció |
| Érintett eszközök | Samsung Galaxy felsőkategóriás sorozatok (S22/S23/S24, Fold/Flip generációk – források szerint válogatott modellek) |
| Idővonal | Felderítés: 2024. július → Javítás: 2025. április → Publikációk: 2025. november 7–10. |
| Képességek | Hang-/hely-/média-/kontakt-/napló-hozzáférés; perzisztencia és észrevétlenség |
Magyar vonatkozás
Hazai érintettségről nincs megerősített nyilvános információ, de a fenyegetésmodell (célzott, high-value profilok) alapján a magyar újságírók/aktivisták és vállalati felsővezetők számára is releváns a kockázat. A hazai sajtó részletesen ismertette az esetet, gyakorlati tanácsokkal kiegészítve.
Gyakorlati teendők – rövid checklist
- Azonnali frissítés: telepítsd a legújabb Samsung Security Update csomagot; ellenőrizd, hogy 2025. április utáni builden vagy.
- Üzenetküldők higiéniája: ismeretlen forrású képeket/mellékleteket ne nyiss meg; vállalati oldalon MDM-szabályokkal szűrj.
- Jogosultság-audit: csökkentsd az app-engedélyeket (kamera, mikrofon, fájlok); kapcsold be a Permission Auto-reset funkciót.
- Fiókvédelem: 2FA a WhatsApp/Samsung-fiókhoz; biztonsági kulcsok használata, ahol lehetséges.
- Incidenskezelés: gyanú esetén teljes értékű mobil DFIR-vizsgálat; titkos csatornákra azonnali átállás.
Kilátások
A képfeldolgozó láncok és médialejátszók sérülékenységei a következő években is kiemelt célpontok maradnak. A gyártói gyors patch-ciklus, a defense-in-depth (MDM, izoláció, sandboxing) és a felhasználói higiénia kombinációja ad reális védelmi szintet.
GYIK
- Minden Galaxy érintett? Nem. A beszámolók válogatott típusokról szólnak; a kampány célzott volt.
- Kell-e kattintani? A lánc minimális interakcióval is kiváltható volt (rosszindulatú kép fogadása); zero-click lehetőségét több forrás is felveti.
- Most is aktív? A kritikus komponens 2025. áprilisban javítást kapott; friss rendszerrel a kockázat érdemben csökken.
