-
09/04/2020
-
118
-
1.246 bài viết
LANDFALL: Biến ảnh gửi qua WhatsApp thành vũ khí tấn công người dùng Samsung
Giữa năm 2025, giới an ninh mạng quốc tế rúng động trước thông tin hàng loạt thiết bị Samsung Galaxy chạy Android bị tấn công thông qua một lỗ hổng bảo mật. Thủ phạm đứng sau chiến dịch này đã tận dụng lỗ hổng để cài cắm một loại phần mềm gián điệp tinh vi mang tên LANDFALL, cho phép âm thầm theo dõi, nghe lén và trích xuất dữ liệu cá nhân của người dùng mà họ không hề hay biết.
Theo các chuyên gia, lỗ hổng nói trên có mã định danh là CVE-2025-21042, điểm đánh giá mức độ nguy hiểm 8,8/10, nằm trong thư viện xử lý hình ảnh “libimagecodec.quram.so” của thiết bị Samsung Galaxy. Điều đáng nói, đây là một lỗ hổng zero-day và nó bị khai thác thực tế trước khi nhà sản xuất kịp phát hành bản vá.
Chiến dịch tấn công đã được phát hiện khi họ phân tích các tệp hình ảnh DNG (Digital Negative) được gửi qua WhatsApp. Thoạt nhìn, đây chỉ là những tấm ảnh bình thường mang tên như “WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg” hoặc “IMG-20240723-WA0000.jpg”, nhưng thực tế chúng chứa mã khai thác độc hại được nhúng khéo léo bên trong.
Khi hình ảnh được mở, lỗ hổng trong thư viện “libimagecodec.quram.so” bị kích hoạt, cho phép kẻ tấn công tự động chạy mã độc mà không cần bất kỳ thao tác nào từ người dùng (kỹ thuật này gọi là zero-click exploit). Mục tiêu tấn công được xác định tập trung tại Iraq, Iran, Thổ Nhĩ Kỳ và Maroc, cho thấy khả năng cao đây là một chiến dịch do nhóm tin tặc có năng lực tầm ảnh hưởng tới quốc gia thực hiện.
Sau khi xâm nhập thành công, LANDFALL không chỉ đơn thuần là một mã độc mà là một nền tảng gián điệp toàn diện. Phần mềm này có khả năng:
Dù chưa có bằng chứng trực tiếp, các chuyên gia của Unit vẫn nhận thấy hạ tầng điều khiển (C2) và mẫu đăng ký tên miền của LANDFALL có nhiều điểm tương đồng với Stealth Falcon (hay còn gọi là FruityArmor). Nếu điều này được xác nhận, LANDFALL có thể là phiên bản “thương mại hóa” của công cụ gián điệp quốc gia, được bán lại cho các tổ chức hoặc nhóm khác.
Với bản chất zero-click và khả năng thu thập dữ liệu toàn diện, LANDFALL được đánh giá là một trong những phần mềm gián điệp Android nguy hiểm nhất từ trước tới nay. Mặc dù Samsung đã phát hành bản vá bảo mật từ tháng 4/2025, nhiều thiết bị cũ hoặc người dùng không cập nhật vẫn có nguy cơ bị tấn công.
Điều đáng lo ngại là hình thức tấn công qua file ảnh gửi trên ứng dụng phổ biến như WhatsApp khiến người dùng hầu như không có cách nào để nhận biết hoặc phòng tránh nếu chưa được cập nhật bản vá.
Để bảo vệ thiết bị Android của mình trước những cuộc tấn công tương tự, người dùng cần ghi nhớ:
Trong bối cảnh công nghệ phát triển nhanh hơn khả năng phòng vệ, cập nhật bảo mật và cảnh giác số chính là “vaccine” duy nhất giúp người dùng tự bảo vệ mình. LANDFALL có thể chỉ là một cái tên trong hàng loạt chiến dịch tấn công phức tạp, nhưng nó nhắc nhở chúng ta rằng chỉ một tấm ảnh cũng có thể khiến toàn bộ dữ liệu của bạn rơi vào tay kẻ xấu.
Theo các chuyên gia, lỗ hổng nói trên có mã định danh là CVE-2025-21042, điểm đánh giá mức độ nguy hiểm 8,8/10, nằm trong thư viện xử lý hình ảnh “libimagecodec.quram.so” của thiết bị Samsung Galaxy. Điều đáng nói, đây là một lỗ hổng zero-day và nó bị khai thác thực tế trước khi nhà sản xuất kịp phát hành bản vá.
Chiến dịch tấn công đã được phát hiện khi họ phân tích các tệp hình ảnh DNG (Digital Negative) được gửi qua WhatsApp. Thoạt nhìn, đây chỉ là những tấm ảnh bình thường mang tên như “WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg” hoặc “IMG-20240723-WA0000.jpg”, nhưng thực tế chúng chứa mã khai thác độc hại được nhúng khéo léo bên trong.
Khi hình ảnh được mở, lỗ hổng trong thư viện “libimagecodec.quram.so” bị kích hoạt, cho phép kẻ tấn công tự động chạy mã độc mà không cần bất kỳ thao tác nào từ người dùng (kỹ thuật này gọi là zero-click exploit). Mục tiêu tấn công được xác định tập trung tại Iraq, Iran, Thổ Nhĩ Kỳ và Maroc, cho thấy khả năng cao đây là một chiến dịch do nhóm tin tặc có năng lực tầm ảnh hưởng tới quốc gia thực hiện.
Sau khi xâm nhập thành công, LANDFALL không chỉ đơn thuần là một mã độc mà là một nền tảng gián điệp toàn diện. Phần mềm này có khả năng:
- Ghi âm microphone theo thời gian thực
- Truy cập vị trí GPS
- Thu thập ảnh, tin nhắn SMS, danh bạ, lịch sử cuộc gọi, và tệp tin trong máy
- Duy trì quyền truy cập lâu dài nhờ thay đổi chính sách bảo mật SELinux của Android để tự cấp quyền hệ thống
Dù chưa có bằng chứng trực tiếp, các chuyên gia của Unit vẫn nhận thấy hạ tầng điều khiển (C2) và mẫu đăng ký tên miền của LANDFALL có nhiều điểm tương đồng với Stealth Falcon (hay còn gọi là FruityArmor). Nếu điều này được xác nhận, LANDFALL có thể là phiên bản “thương mại hóa” của công cụ gián điệp quốc gia, được bán lại cho các tổ chức hoặc nhóm khác.
Với bản chất zero-click và khả năng thu thập dữ liệu toàn diện, LANDFALL được đánh giá là một trong những phần mềm gián điệp Android nguy hiểm nhất từ trước tới nay. Mặc dù Samsung đã phát hành bản vá bảo mật từ tháng 4/2025, nhiều thiết bị cũ hoặc người dùng không cập nhật vẫn có nguy cơ bị tấn công.
Điều đáng lo ngại là hình thức tấn công qua file ảnh gửi trên ứng dụng phổ biến như WhatsApp khiến người dùng hầu như không có cách nào để nhận biết hoặc phòng tránh nếu chưa được cập nhật bản vá.
Để bảo vệ thiết bị Android của mình trước những cuộc tấn công tương tự, người dùng cần ghi nhớ:
- Cập nhật hệ thống và ứng dụng ngay khi có bản vá bảo mật mới từ Samsung hoặc Google.
- Không mở file hình ảnh hoặc liên kết lạ, đặc biệt là từ người không quen biết, ngay cả khi được gửi qua các ứng dụng tin cậy như WhatsApp.
- Sử dụng phần mềm bảo mật di động uy tín, có khả năng phát hiện hành vi đáng ngờ và quét phần mềm gián điệp.
- Bật tính năng Play Protect trên Android và chỉ tải ứng dụng từ Google Play Store.
- Kiểm tra định kỳ quyền truy cập của ứng dụng, thu hồi các quyền bất thường như microphone, vị trí, bộ nhớ.
- Sao lưu dữ liệu thường xuyên để giảm thiểu thiệt hại nếu thiết bị bị tấn công.
Trong bối cảnh công nghệ phát triển nhanh hơn khả năng phòng vệ, cập nhật bảo mật và cảnh giác số chính là “vaccine” duy nhất giúp người dùng tự bảo vệ mình. LANDFALL có thể chỉ là một cái tên trong hàng loạt chiến dịch tấn công phức tạp, nhưng nó nhắc nhở chúng ta rằng chỉ một tấm ảnh cũng có thể khiến toàn bộ dữ liệu của bạn rơi vào tay kẻ xấu.
WhiteHat