Критична заплаха за милиони потребители на Samsung: Американската агенция за киберсигурност потвърждава активна експлоатация на уязвимост, използвана за масово шпионство в Близкия изток

Американската агенция за киберсигурност и инфраструктурна защита (CISA) повдигна червен аларм за критична уязвимост в мобилните устройства на Samsung, която вече е била активно използвана в реални кибератаки. На 10 ноември 2025 година агенцията добави CVE-2025-21042 към своя каталог с известни експлоатирани уязвимости (KEV), което задължава федералните агенции да предприемат незабавни действия до 1 декември.

Какво представлява уязвимостта CVE-2025-21042?

Откритата през 2024 година уязвимост засяга библиотеката libimagecodec.quram.so в мобилните устройства на Samsung. Класифицирана като „out-of-bounds write“ проблем с CVSS оценка 8.8, тази критична грешка позволява на атакуващите да изпълняват произволен код дистанционно, без да е необходимо взаимодействие от страна на потребителя.

Особено тревожното е, че уязвимостта може да бъде експлоатирана чрез простото изпращане на специално модифицирани изображения във формат DNG (Digital Negative) през популярни месинджъри като WhatsApp или имейл клиенти. След като зараженото изображение достигне до устройството, процесът на инфектиране протича автоматично, без жертвата да осъзнае нещо.

Шпионският софтуер LANDFALL: изтънчена заплаха от ново поколение

Според изследването на Palo Alto Networks Unit 42, публикувано миналата седмица, уязвимостта е била използвана за разпространението на шпионския софтуер LANDFALL – изключително сложна злонамерена програма, активна от средата на 2024 година. Първите зловредни файлове са датирани още от 23 юли 2024 година, месеци преди Samsung да публикува корекция през април 2025.

LANDFALL принадлежи към търговския клас инструменти за цифрово наблюдение, сравними по функционалност със системите Pegasus или Predator. След успешна инфекция, злонамереният софтуер получава пълен контрол над устройството и може да:

• Записва аудио и телефонни разговори в реално време
• Проследява GPS локацията на устройството
• Достъпва снимки, контакти и файлове
• Следи SMS съобщения и история на обажданията
• Наблюдава историята на сърфиране в интернет
• Извлича чувствителни данни без знанието на потребителя

Географски обхват и целеви региони

Анализаторите на Palo Alto Networks установиха, че кампанията е била предимно насочена към устройства в страните от Близкия изток, включително Ирак, Иран, Турция и Мароко. Този географски фокус, заедно с използваната инфраструктура и тактики, сочи към вероятни връзки с частни компании за наступателна киберсигурност (PSOA – Private Sector Offensive Actors), действащи в региона.

Изследователите потвърждават, че LANDFALL споделя инфраструктура и методи на работа с други известни операции на търговски шпионски софтуер в Близкия изток, което подсказва координиран подход и възможно използване от държавни или полудържавни структури.

Как работи атаката?

Техническото изпълнение на атаката е изключително изтънчено. Зловредните DNG изображения съдържат вградени ZIP архиви в края на файла. Когато уязвимата библиотека на Samsung обработва изображението, експлойтът извлича споделени библиотечни файлове (.so файлове) от вградения архив и стартира шпионския софтуер LANDFALL.

Тази техника на атака е известна като „zero-click“ експлоатация, тъй като не изисква никакви действия от страна на потребителя – достатъчно е изображението да достигне до устройството. Meta и екипът по сигурността на WhatsApp първи забелязаха злонамерените DNG файлове и сигнализираха Samsung за проблема.

Модел на множество уязвимости

Тревожното е, че CVE-2025-21042 не е изолиран инцидент. През септември 2025 година Samsung издаде корекция за друга подобна уязвимост в същата библиотека – CVE-2025-21043, която също е била експлоатирана в реални атаки. Изследователите предполагат, че всички тези инциденти са част от по-голяма вълна от атаки, които използват грешки в обработката на DNG изображения за въвеждане на мобилен шпионски софтуер в множество мобилни платформи.

Почти едновременно Meta предупреди за сложни атаки през WhatsApp, които използваха комбинация от този бъг с други недостатъци в месинджъра. Този модел показва систематичен подход към експлоатацията на уязвимости в обработката на изображения на мобилни устройства.

Спешни мерки за защита

Samsung пусна актуализация на сигурността SMR April 2025 Release 1, която отстранява уязвимостта. Потребителите на устройства Samsung Galaxy трябва незабавно да:

1. Инсталирайте най-новите актуализации на сигурността – Проверете в Настройки > Актуализация на софтуера дали имате инсталирана April 2025 актуализацията или по-нова версия
2. Бъдете особено внимателни с неочаквани изображения – Не отваряйте изображения, получени от непознати или подозрителни източници
3. Ограничете автоматичното изтегляне на медия – В настройките на WhatsApp и други месинджъри деактивирайте автоматичното изтегляне на снимки и видеоклипове
4. Използвайте решения за мобилна сигурност – Инсталирайте доверен антивирусен софтуер за мобилни устройства

Задължителни действия за организации

CISA настоява всички организации, не само федералните агенции, да приоритизират коригирането на тази уязвимост възможно най-бързо. Според Binding Operational Directive (BOD) 22-01, този тип уязвимости представляват честа цел за злонамерени киберактьори и носят значителни рискове.

Корпоративните администратори трябва да:

• Приложат актуализацията на сигурността на всички засегнати устройства през системи за мобилно управление (MDM)
• Проверят спазването на политиките за актуализация във всички корпоративни мобилни устройства
• Засилят мониторинга за аномалии, свързани с обработката на медийни файлове
• Ограничат мрежовия достъп до устройства, които не могат да бъдат незабавно актуализирани

Бдителността е от първостепенно значение

Добавянето на CVE-2025-21042 към KEV каталога на CISA подчертава сериозността на заплахата. Факт, че уязвимостта е била активно експлоатирана в продължение на месеци преди да бъде публично разкрита, показва колко напреднали са съвременните кибератаки и колко важно е потребителите и организациите да реагират незабавно на предупрежденията за сигурност.

В ерата на все по-изтънчените търговски инструменти за цифрово наблюдение, редовната актуализация на устройствата и информираността за киберзаплахите вече не са опция – те са абсолютна необходимост за защита на личната и корпоративна информация.

Apple инвестира $1 милиард в Google Gemini за подобряване на Siri може да прочетете тук.