•     การค้นพบครั้งสำคัญโดยนักวิจัยจาก Unit 42 ได้เผยถึงปฏิบัติการสอดแนมขั้นสูงที่ใช้มัลแวร์ ประเภท “สปายแวร์” สำหรับระบบปฏิบัติการ Android ตระกูลใหม่ชื่อ LANDFALL โดยอาศัยการใช้ประโยชน์จาก ช่องโหว่ Zero-Day วิกฤต (CVE-2025-21042) ในไลบรารีการประมวลผลภาพของ Samsung Android การโจมตีนี้มุ่งเป้าไปที่ผู้ใช้ Samsung Galaxy ในตะวันออกกลาง และเป็นตัวอย่างที่ชัดเจนของภัยคุกคามเกรดพาณิชย์ที่สามารถซ่อนตัวและทำงานได้อย่างต่อเนื่องเป็นเวลาหลายเดือนก่อนที่จะถูกเปิดเผย

ช่องโหว่และกลยุทธ์การจัดส่ง "Zero-Click"
LANDFALL ถูกส่งผ่าน “ไฟล์ภาพ” ที่มีการสร้างขึ้นอย่างผิดปกติ (Malformed DNG image files) ซึ่งถูกส่งผ่านแอปพลิเคชันอย่าง WhatsApp วิธีการนี้คล้ายคลึงกับการโจมตีที่เคยเกิดขึ้นกับ Apple และ WhatsApp ในเดือนสิงหาคม 2025

การโจมตี
1. ไฟล์ภาพ DNG ที่เป็นอันตราย "ผู้โจมตีซ่อนมัลแวร์ไว้ใน 'ไฟล์ภาพดิบ (DNG)' ซึ่งโดยปกติเป็นไฟล์ที่ใช้สำหรับช่างภาพ ไฟล์ DNG เหล่านี้ถูก ดัดแปลงให้ผิดปกติ โดยการ ซ่อนไฟล์ ZIP ที่บรรจุมัลแวร์ไว้ที่ส่วนท้าย เมื่อแอปพลิเคชันของ Samsung (โดยเฉพาะไลบรารี libimagecodec.quram.so) พยายาม อ่านและประมวลผล ไฟล์ภาพที่ผิดปกตินี้ ก็จะเกิดข้อผิดพลาดขึ้นและเปิดทางให้มัลแวร์จากไฟล์ ZIP นั้นถูกรันได้

2. การใช้ประโยชน์จากช่องโหว่ ไฟล์ DNG เหล่านี้ใช้ประโยชน์จากช่องโหว่ CVE-2025-21042 ซึ่งเป็นข้อบกพร่อง "out-of-bounds write" ในไลบรารี libimagecodec.quram.so ของ Samsung

3. การจัดส่งแบบ Zero-Click "การโจมตีแบบ 'Zero-Click' คือ ทำให้มัลแวร์ติดตั้งตัวเองได้ โดยที่เหยื่อไม่ต้องทำอะไรเลย (เช่น ไม่ต้องคลิกเปิดไฟล์ภาพ) มัลแวร์สามารถทำงานได้ทันทีที่ไฟล์ภาพที่เป็นอันตรายนี้ ถูกส่งถึง หรือ ถูกประมวลผลอัตโนมัติ โดยแอปส่งข้อความ (เช่น WhatsApp) แม้ในขณะที่ไฟล์ยังไม่ได้ถูกเปิดดูก็ตาม"

ช่องโหว่ CVE-2025-21042 ได้ถูกใช้งานจริงก่อนที่ Samsung จะออกแพตช์แก้ไขในเดือนเมษายน 2025 อย่างไรก็ตาม ปฏิบัติการ LANDFALL ได้เริ่มต้นขึ้นแล้วตั้งแต่กลางปี 2024 โดยมีการค้นพบตัวอย่างไฟล์ DNG ที่เป็นอันตรายครั้งแรกบน VirusTotal ตั้งแต่เดือนกรกฎาคม 2024 โครงสร้างและการจารกรรมข้อมูลที่ครอบคลุม LANDFALL ถูกออกแบบมาสำหรับอุปกรณ์ Samsung Galaxy โดยเฉพาะ และมีโครงสร้างแบบโมดูลาร์เพื่อการจารกรรมและดูดข้อมูล

ส่วนประกอบหลักที่ถูกฝังอยู่ในไฟล์ DNG ได้แก่

• Loader (b.so): ส่วนประกอบนี้เป็น ARM64 ELF shared object ที่ทำหน้าที่เป็นแบ็คดอร์หลัก ในเอกสารดีบักของตัวเอง ส่วนประกอบนี้อ้างถึงตัวเองว่า “Bridge Head” ซึ่งทำหน้าที่ดึงและโหลดโมดูลเพิ่มเติม
• SELinux Policy Manipulator (l.so): ส่วนประกอบนี้ถูกออกแบบมาเพื่อจัดการนโยบาย SELinux ของอุปกรณ์เพื่อให้ LANDFALL ได้รับสิทธิ์ที่สูงขึ้นและช่วยให้มัลแวร์สามารถคงอยู่ได้ (persistence)

ความสามารถในการสอดแนมที่ครอบคลุม (Comprehensive Surveillance)
LANDFALL มีศักยภาพในการจารกรรมข้อมูลอย่างละเอียด รวมถึง

• การบันทึกเสียง: บันทึกไมโครโฟนและการบันทึกการโทร
• การติดตาม: การติดตามตำแหน่งที่ตั้ง (location tracking)
• การเก็บข้อมูลส่วนตัว: รวบรวมรูปภาพจากกล้องถ่ายรูป, รายชื่อติดต่อ, บันทึกการโทร, และข้อมูล SMS/ข้อความ
• การเก็บข้อมูลอุปกรณ์: สามารถทำ Device Fingerprinting (ระบุตัวตนอุปกรณ์) โดยการเก็บข้อมูลเวอร์ชัน OS, Hardware ID (IMEI), SIM/Subscriber ID (IMSI), บัญชีผู้ใช้, สถานะ VPN, และรายการแอปพลิเคชันที่ติดตั้ง

อุปกรณ์เป้าหมาย
มัลแวร์นี้ถูกออกแบบมาเพื่อโจมตี Samsung Galaxy รุ่นต่างๆ

• Galaxy S23 Series
• Galaxy S24 Series
• Galaxy Z Fold4
• Galaxy S22
• Galaxy Z Flip4

การเชื่อมโยงไปยังผู้เล่นเชิงรุกภาคเอกชน (PSOAs)
LANDFALL มีการสอดแนมระดับพาณิชย์ (commercial grade) ซึ่งบ่งชี้ว่าอาจเกี่ยวข้องกับ Private-Sector Offensive Actors (PSOAs) หรือ กลุ่มที่พัฒนาและจำหน่ายสปายแวร์ให้แก่หน่วยงานรัฐบาล แม้ว่า Unit 42 ยังไม่สามารถระบุแหล่งที่มาอย่างเป็นทางการของ LANDFALL ได้ (ติดตามกิจกรรมในชื่อ CL-UNK-1054) แต่มีข้อสังเกตที่น่าสนใจ

1. โครงสร้าง C2: โครงสร้างพื้นฐาน C2 (Command and Control) ของ LANDFALL และรูปแบบการลงทะเบียนโดเมน มีความคล้ายคลึง กับโครงสร้างที่เกี่ยวข้องกับกลุ่ม Stealth Falcon ซึ่งมีรายงานว่าปฏิบัติการส่วนใหญ่อยู่ในสหรัฐอาหรับเอมิเรตส์ (UAE)

2. ชื่อเรียกเฉพาะ: การที่ส่วนประกอบ Loader เรียกตัวเองว่า "Bridge Head" นั้นเป็นชื่อที่พบได้ทั่วไปในสปายแวร์มือถือเชิงพาณิชย์ของบริษัทต่างๆ เช่น NSO, Variston, Cytrox และ Quadream เป้าหมายทางภูมิศาสตร์: ข้อมูลจากการส่งตัวอย่างไปยัง VirusTotal ชี้ให้เห็นว่าผู้ที่อาจตกเป็นเป้าหมายอยู่ใน อิรัก, อิหร่าน, ตุรกี, และโมร็อกโก โดย CERT แห่งชาติของตุรกี (USOM) ได้รายงานว่า IP Address ที่ใช้โดยเซิร์ฟเวอร์ C2 ของ LANDFALL นั้นเกี่ยวข้องกับกิจกรรมที่เป็นอันตรายและ APT บทสรุปและคำแนะนำด้านความปลอดภัย

การค้นพบ LANDFALL ได้เน้นย้ำถึงแนวโน้มที่น่ากังวล: การใช้ประโยชน์จากช่องโหว่ในการประมวลผลไฟล์ภาพ DNG ช่องโหว่ที่ LANDFALL ใช้ (CVE-2025-21042) เป็นเพียงส่วนหนึ่งของรูปแบบที่กว้างขึ้นของปัญหาที่คล้ายกันบนแพลตฟอร์มมือถือหลายระบบ

สถานการณ์ปัจจุบันและการป้องกัน

• การแก้ไข: ช่องโหว่หลักได้รับการแก้ไขแล้ว โดย Samsung ในเดือนเมษายน 2025 ดังนั้น ผู้ใช้ Samsung ในปัจจุบันจึงไม่มีความเสี่ยงอย่างต่อเนื่องจากช่องโหว่นี้
• การป้องกันทั่วไป: เพื่อป้องกันการโจมตีสปายแวร์ในอนาคต ควรติดตั้งอัปเดตความปลอดภัยสำหรับระบบปฏิบัติการมือถือและแอปพลิเคชันโดยทันที, ปิดใช้งานการดาวน์โหลดสื่ออัตโนมัติในแอปพลิเคชันส่งข้อความ, และพิจารณาเปิดใช้งานฟีเจอร์ป้องกันขั้นสูง เช่น ‘Advanced Protection’ บน Android

การโจมตี LANDFALL แสดงให้เห็นว่าแม้แต่ไฟล์ข้อมูลที่เราคิดว่าปลอดภัยก็สามารถกลายเป็นช่องทางให้ผู้โจมตีระดับสูง เจาะเข้าสู่โลกส่วนตัวของเราได้ หากไม่มีการอัปเดตระบบป้องกันที่รวดเร็วและต่อเนื่อง

ติดตามข่าวสารใหม่ๆได้ที่ Avery it tech #เพราะเทคโนโลยีอยู่รอบตัวคุณ

แหล่งอ้างอิง

https://www.bleepingcomputer.com/news/security/new-landfall-spyware-exploited-samsung-zero-day-via-whatsapp-messages/?fbclid=IwVERTSAN9cvFleHRuA2FlbQIxMABzcnRjBmFwcF9pZAwzNTA2ODU1MzE3MjgAAR7yayWnthK5bNr-i-k3AEC1sozN6lYt49rWH_GPqcyy5g2IziykZTQrCPvQZA_aem_I_Pw0UKzIMwQzMjVOGrNYQ

https://unit42.paloaltonetworks.com/landfall-is-new-commercial-grade-android-spyware/?fbclid=IwVERTSAN9ctZleHRuA2FlbQIxMABzcnRjBmFwcF9pZAwzNTA2ODU1MzE3MjgAAR58seB7U9kWuG1peisZLppT29qj44OfZf8RSmLw8wUOwWl2o-I2SsTbJ_Titg_aem_fKAl4OLUA9q658r34ZgrDQ