Falha zero-click em Galaxy permitia espionagem via imagens no WhatsApp; patch já disponível

Aparelhos da linha Galaxy ficaram expostos por quase um ano a uma campanha de espionagem que dispensava qualquer toque na tela. A vulnerabilidade CVE-2025-21042, classificada com pontuação 8,8 no sistema CVSS, criava a porta de entrada para o spyware comercial LANDFALL ser distribuído por meio de imagens enviadas no WhatsApp. A falha, localizada na biblioteca libimagecodec.quram.so, foi corrigida pela Samsung em abril de 2025, mas amostras do malware circulavam desde julho de 2024, segundo investigações da Unit 42, divisão de segurança da Palo Alto Networks.

O que estava em jogo

O problema afetava smartphones Galaxy que processam, por padrão, arquivos de imagem recebidos de aplicativos de mensagens. Ao explorar um erro de escrita fora dos limites, agentes maliciosos conseguiam executar código remoto no dispositivo da vítima sem qualquer interação adicional. Bastava o usuário receber o arquivo DNG adulterado em uma conversa do WhatsApp para que a cadeia de infecção começasse.

Quem foi alvo da campanha

A Unit 42 rastreou a atividade sob o identificador CL-UNK-1054. Análises de envio de arquivos ao serviço VirusTotal mostram que os alvos se concentraram em quatro países do Oriente Médio e do Norte da África: Iraque, Irã, Turquia e Marrocos. Não há indícios de que usuários fora dessas regiões tenham sido atingidos, mas a descoberta comprova que atores de ameaça exploraram ativamente a falha antes da divulgação do patch.

Como o ataque zero-click era executado

Os operadores da campanha preparavam arquivos no formato Digital Negative (DNG) com nomes que imitavam imagens rotineiras, como “WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg” ou “IMG-20240723-WA0000.jpg”. Essa escolha minimizava suspeitas, pois o WhatsApp exibe miniaturas automaticamente e muitas vezes oculta a extensão verdadeira.

No final do arquivo DNG havia um ZIP embutido contendo uma biblioteca de objeto compartilhado (.so). Quando o sistema da Samsung analisava a imagem, o exploit extraía essa biblioteca diretamente para a memória e executava o código, saltando as camadas normais de proteção. Nenhuma ação do usuário era necessária: a simples recepção da mensagem bastava para disparar o carregamento.

Escalada de privilégios e persistência

Além da biblioteca que inicializava o LANDFALL, o pacote continha outro objeto concebido para ajustar as políticas SELinux do Android. Essa modificação concedia permissões elevadas ao spyware, garantindo acesso amplo aos recursos do aparelho e facilitando a permanência mesmo após reinicializações. Alterar a política de segurança do sistema é um passo crucial para que o código malicioso se mantenha ativo e contorne restrições impostas pelo sistema operacional.

Capacidades do spyware LANDFALL

Uma vez instalado, o LANDFALL oferece ao operador praticamente todos os meios de monitoramento imagináveis. De acordo com a análise técnica, ele:

• Grava áudio do microfone em tempo real;
• Acessa dados de localização via GPS;
• Copia fotos armazenadas e recém-capturadas;
• Exfiltra lista de contatos e mensagens SMS;
• Lê registros de chamadas e outros arquivos no armazenamento interno.

O código se comunica com um servidor de comando e controle (C2) por HTTPS, em um ciclo contínuo de beaconing. Durante esse ciclo, o dispositivo comprometido envia informações de inventário e, em troca, recebe módulos adicionais não especificados, permitindo que os atacantes expandam ou modifiquem as funções do spyware sob demanda.

Possível vínculo com o grupo Stealth Falcon

Elementos de infraestrutura observados na campanha — como padrões de registro de domínios e endereços IP — lembram o modo de operação do coletivo Stealth Falcon, também conhecido como FruityArmor. Esse grupo é associado a operações de espionagem com motivações político-governamentais no Oriente Médio. Contudo, até outubro de 2025, os analistas não identificaram sobreposições diretas entre o cluster atual e campanhas confirmadas do Stealth Falcon, o que impede uma atribuição conclusiva.

Reincidência de falhas na mesma biblioteca

O caso da CVE-2025-21042 não foi isolado. Em setembro de 2025, a Samsung revelou a CVE-2025-21043, também classificada com CVSS 8,8 e igualmente presente em libimagecodec.quram.so. Essa segunda vulnerabilidade foi explorada como zero-day, mas não há ligação demonstrada com a campanha do LANDFALL. O cenário sugere que o componente responsável pelo processamento de imagens mereça atenção redobrada em auditorias futuras, pois se tornou alvo frequente de desenvolvedores de exploits.

Contexto de outras falhas zero-click em 2025

No mesmo período, o WhatsApp comunicou a correção de uma vulnerabilidade em suas versões para iOS e macOS que, ao ser encadeada com uma falha da Apple, possibilitou uma operação altamente dirigida a menos de 200 indivíduos. O paralelo reforça como vetores que dispensam interação do usuário se consolidam como método preferencial para espionagem de alto nível, já que reduzem as chances de erro operacional e de detecção precoce.

Tempo de exposição e desafios de detecção

Um ponto crítico é a janela de tempo entre o primeiro uso conhecido do exploit, em julho de 2024, e o lançamento do patch da Samsung, em abril de 2025. Nesse intervalo, amostras do LANDFALL ficaram disponíveis em repositórios públicos como o VirusTotal sem que mecanismos automáticos de análise captassem a ameaça em profundidade. O caso evidencia a eficácia das técnicas de ofuscação empregadas e ressalta a importância de revisões manuais e correlacionadas para descobrir padrões suspeitos em arquivos aparentemente legítimos.

Impacto potencial nos usuários Galaxy

Embora a campanha confirmada tenha se limitado a quatro países, qualquer dispositivo com a versão vulnerável do componente podia ser atacado. O WhatsApp é instalado por padrão ou utilizado por grande parte da base de usuários Android, e imagens em DNG são tratadas automaticamente pelo sistema. Dessa forma, aparelhos que não instalaram a atualização de abril de 2025 permanecem suscetíveis se os atacantes decidirem retomar a exploração.

Patch disponível e orientações de mitigação

A Samsung distribuiu a correção como parte do boletim de segurança mensal. Usuários devem:

• Confirmar a instalação de todas as atualizações lançadas a partir de abril de 2025;
• Manter o WhatsApp e outros aplicativos de mensagem atualizados para reduzir superfícies de ataque;
• Revisar permissões concedidas a aplicativos e serviços, removendo autorizações desnecessárias;
• Habilitar recursos de verificação de arquivos oferecidos por soluções de segurança móvel.

Lições para o ecossistema de segurança móvel

O episódio ressalta três pontos centrais. Primeiro, componentes de processamento de mídia, sobretudo aqueles integrados ao fluxo de mensagens instantâneas, continuam sendo alvos prioritários para atores que buscam comprometer smartphones sem interação do usuário. Segundo, a permanência de amostras em repositórios públicos por meses indica que apenas sistemas de detecção automatizada não são suficientes para identificar exploits sofisticados. Por fim, o fato de duas vulnerabilidades críticas aparecerem no mesmo módulo em menos de um ano sugere a necessidade de revisões estruturais no código-base desse componente.