Buzz
Phần mềm gián điệp Landfall khai thác file ảnh “bẫy” để giám sát điện thoại Samsung Galaxy mà không cần bất kỳ tương tác nào từ người dùng. Lỗ hổng đã được khắc phục trong bản cập nhật Android 13-15 vào tháng 4/2025, nhưng chuyên gia vẫn cảnh báo nguy cơ tấn công ở mức cao.
Một chiến dịch gián điệp tinh vi đã phơi bày cách hacker lợi dụng điểm yếu trong thư viện xử lý hình ảnh trên thiết bị Samsung để xâm nhập mà không cần người dùng thực hiện thao tác nào. Sự việc cho thấy mối nguy trên di động ngày càng nhanh và tinh vi hơn.
Chiến dịch gián điệp nhắm vào người dùng Samsung Galaxy
Trong nhiều tháng, nhóm hacker triển khai chiến dịch nhắm tới một số người dùng Samsung Galaxy, tận dụng lỗ hổng chưa được vá trong phần mềm Android của Samsung. Theo báo cáo từ Palo Alto Networks Unit 42, phần mềm gián điệp mang tên Landfall hoạt động phần lớn trong năm 2024 đến đầu 2025, cho phép kẻ tấn công thu thập dữ liệu mà nạn nhân không hề hay biết. Samsung đã vá lỗ hổng (CVE-2025-21042) trong bản cập nhật bảo mật tháng 4/2025, nhưng trước đó lỗ hổng đã bị lợi dụng để thực hiện giám sát có chủ đích tại nhiều quốc gia.
Các máy Galaxy bị ảnh hưởng gồm S22 đến S24 và các dòng gập như Z Flip 4 và Z Fold 4; dấu vết tập trung tại Iraq, Iran, Thổ Nhĩ Kỳ và Morocco cho thấy đây là các mục tiêu được chọn lọc kỹ lưỡng chứ không phải tấn công diện rộng.
LANDFALL nhắm tới người dùng điện thoại Samsung
Cơ chế hoạt động của Landfall
Landfall tận dụng file ảnh kỹ thuật số bị chỉnh sửa, đặc biệt là file DNG dựa trên định dạng TIFF chứa các thư viện ZIP độc hại. Khi ảnh nhiễm được mở, trình xử lý hình ảnh nền trên thiết bị tự động giải nén và thực thi payload, hoàn toàn không cần bất kỳ tương tác nào từ người dùng.
Sau khi xâm nhập, mã độc thay đổi chính sách SELinux để mở rộng quyền, cho phép thu thập thông tin thiết bị, ứng dụng cài đặt, danh bạ, thư mục file và dữ liệu trình duyệt. Phần mềm gián điệp thậm chí có thể kích hoạt micro và camera từ xa, biến thiết bị thành công cụ giám sát toàn diện.
Cách thức hoạt động của LANDFALL
Dấu vết và nguồn gốc chuyên nghiệp
Phân tích của Unit 42 cho thấy Landfall được xây dựng như một nền tảng giám sát thương mại, trang bị nhiều kỹ thuật né tránh phát hiện và có dấu hiệu tương đồng với các spyware của các nhà thầu giám sát chuyên nghiệp như NSO Group hay Variston. Mặc dù tác giả cụ thể chưa được xác định, các chuyên gia nhận định đây là một chiến dịch gián điệp tinh vi, được phát triển bởi đội ngũ chuyên nghiệp với nguồn lực đáng kể.
Các biện pháp phòng ngừa
Samsung xác nhận rằng bản cập nhật tháng 4/2025 đã khắc phục lỗ hổng trên Android 13 đến 15. Tuy nhiên, do Landfall có khả năng thay đổi cấu hình hệ thống, việc loại bỏ hoàn toàn phần mềm gián điệp vẫn gặp khó khăn ngay cả sau khi cập nhật. Những người dùng chưa cập nhật bản vá vẫn có nguy cơ bị tấn công nếu lỗ hổng này bị lợi dụng lại trong tương lai.
