【安全资讯】商业级Android间谍软件LANDFALL利用三星零日漏洞针对中东目标

概要：

近期曝光的商业级Android间谍软件LANDFALL引发全球关注，该恶意软件通过三星Galaxy手机的零日漏洞实施长达9个月的精准监控，主要针对中东地区目标。这一事件凸显了商业间谍软件供应商与政府背景黑客组织结合带来的国家级监控威胁。

主要内容：

LANDFALL间谍软件通过WhatsApp发送特制的DNG格式图像文件，其中嵌入了利用CVE-2025-21042零日漏洞的ZIP压缩包。该漏洞存在于三星手机的图像处理库中，攻击者通过精心构造的图像文件实现零点击感染，无需用户任何交互即可完成植入。

感染成功后，LANDFALL具备全面的监控能力，包括麦克风录音、位置跟踪、通话记录、照片窃取、短信和联系人收集等功能。其基础设施与中东商业间谍软件运营存在“交易模式”相似性，表明可能涉及私营部门制造商。

研究人员发现LANDFALL与阿联酋关联的黑客组织Stealth Falcon存在基础设施和域名注册模式相似性，但尚未确认直接关联。恶意样本提交记录显示潜在目标分布在伊拉克、伊朗、土耳其和摩洛哥等国。

该漏洞于2024年9月报告给三星，但直到2025年4月才发布修复补丁。受影响设备包括Galaxy ZFOLD4、ZFlip4及S22至S24系列。此次攻击具有高度针对性，其精密基础设施和零日漏洞利用均指向国家支持的间谍活动特征。