CISA cere agențiilor federale să repare urgent o vulnerabilitate Samsung exploatată în atacuri cu spyware

O nouă alertă cibernetică de nivel critic a fost emisă în Statele Unite: Agenția pentru Securitate Cibernetică și Infrastructură (CISA) a ordonat tuturor agențiilor federale să aplice imediat patch-urile pentru o vulnerabilitate gravă descoperită în dispozitivele Samsung. Aceasta a fost exploatată activ în atacuri de tip „zero-day” pentru a instala un spyware extrem de sofisticat, numit LandFall, care vizează telefoanele Android și se infiltrează prin aplicația WhatsApp.

Defectul, identificat ca CVE-2025-21042, a fost detectat în biblioteca libimagecodec.quram.so din sistemul de operare Samsung, iar exploatarea lui permite atacatorilor să obțină control total asupra dispozitivelor afectate. Vulnerabilitatea a fost deja inclusă de CISA în catalogul său oficial de Known Exploited Vulnerabilities (vulnerabilități cunoscute exploatate activ), o listă care obligă agențiile guvernamentale americane să acționeze în termen de trei săptămâni – până la 1 decembrie 2025 – pentru a-și proteja dispozitivele.

Potrivit echipei de cercetare Unit 42 a companiei Palo Alto Networks, vulnerabilitatea permite atacatorilor să trimită imagini DNG (format foto brut) infectate prin WhatsApp. În momentul în care victima primește fișierul, codul malițios exploatează eroarea din biblioteca Samsung pentru a executa comenzi arbitrare și a instala spyware-ul LandFall fără știrea utilizatorului.

Acest malware are capabilități extinse: poate accesa istoricul de navigare, înregistra apeluri și conversații audio, urmări locația victimei, colecta fotografii, contacte, mesaje, jurnale de apeluri și fișiere. În termeni simpli, LandFall transformă telefonul într-un dispozitiv complet compromis.

Cerere de căsătorie surpriză la „Mireasa”. Un cuplu contestat s-a logodit, după câteva săptămâni de relație: „Promit că o să încerc să te fac fericit”

Horoscop 5 decembrie 2025. O zodie primește o nouă șansă, norocul e de partea ei

Cercetările arată că atacurile au început cel puțin din iulie 2024, deși vulnerabilitatea fusese raportată și remediată de Samsung în aprilie, în urma unei sesizări din partea echipelor de securitate WhatsApp și Meta. Totuși, hackerii au reușit să o exploateze timp de luni de zile, înainte ca autoritățile să detecteze amploarea campaniei.

Conform datelor din serviciul VirusTotal, principalele ținte ale atacurilor se află în Irak, Iran, Turcia și Maroc, însă infrastructura folosită de atacatori prezintă asemănări izbitoare cu operațiunile Stealth Falcon, o grupare cibernetică asociată anterior Emiratelor Arabe Unite.

Interesant este că modul de denumire al componentelor din LandFall — în special Bridge Head, încărcătorul principal al malware-ului — urmează un tipar comun în produsele comerciale de spionaj digital, precum cele dezvoltate de companii precum NSO Group, Variston, Cytrox sau Quadream. Totuși, Unit 42 nu a putut stabili o legătură directă cu vreun furnizor cunoscut de spyware.

CISA avertizează: riscuri majore pentru securitatea națională

CISA a emis un Binding Operational Directive (BOD) 22-01, prin care solicită agențiilor federale ne-militare — inclusiv Departamentele Energiei, Trezoreriei, Securității Interne și Sănătății — să aplice imediat actualizările de securitate pentru toate dispozitivele Samsung.

„Acest tip de vulnerabilitate reprezintă o cale de atac preferată pentru actorii cibernetici rău intenționați și constituie un risc semnificativ pentru infrastructura federală,” a avertizat CISA într-un comunicat.

Deși directiva este obligatorie doar pentru instituțiile guvernamentale, agenția a încurajat toate organizațiile, inclusiv cele private, să implementeze de urgență patch-ul de securitate. În cazurile în care actualizarea nu este posibilă, CISA recomandă deconectarea temporară a dispozitivelor afectate sau aplicarea de măsuri de mitigare suplimentare, în conformitate cu instrucțiunile Samsung.

În septembrie 2025, Samsung a remediat o a doua vulnerabilitate critică în aceeași bibliotecă, identificată drept CVE-2025-21043, exploatată și ea în atacuri de tip zero-day asupra telefoanelor Android. Această coincidență arată că biblioteca libimagecodec.quram.so a devenit o țintă constantă pentru atacatori, iar experții în securitate recomandă monitorizarea atentă a oricărei activități suspecte legate de fișiere media primite prin aplicații de mesagerie.

LandFall, un nou exemplu al evoluției spyware-ului global

Cazul LandFall confirmă tendința tot mai clară a ultimilor ani: spionajul digital nu mai este apanajul statelor, ci un instrument accesibil actorilor comerciali și grupărilor private. În ultimul deceniu, piața globală a software-ului de supraveghere a explodat, iar atacurile de tip zero-day asupra telefoanelor inteligente au devenit o armă preferată în operațiunile de spionaj cibernetic.

Ceea ce face LandFall deosebit de periculos este gradul său de rafinament și discreție. Spre deosebire de malware-urile clasice, acest spyware nu declanșează alarme vizibile și poate funcționa luni întregi fără a fi detectat. Mai mult, atacurile prin fișiere media aparent inofensive — precum fotografiile trimise prin WhatsApp — sugerează un nivel avansat de inginerie socială combinat cu exploatarea vulnerabilităților de sistem.

Deocamdată, Samsung nu a comentat public dacă vulnerabilitatea CVE-2025-21042 a fost exploatată și în alte regiuni, însă compania a confirmat că toate modelele afectate — Galaxy S22, S23, S24, Z Fold 4 și Z Flip 4 — au primit patch-uri de securitate.

Pentru utilizatorii obișnuiți, mesajul este simplu: actualizările de sistem nu sunt opționale. Într-o lume digitală tot mai complexă, în care un simplu fișier imagine poate deveni o armă de spionaj, singura linie de apărare eficientă rămâne vigilența și instalarea promptă a actualizărilor de securitate.

CISA a conchis sec, dar ferm: „Ignorarea acestor vulnerabilități nu mai este o opțiune. Riscul nu este doar tehnologic, ci și de securitate națională.”