Cảnh báo phần mềm gián điệp trên Samsung, người dùng Galaxy cần làm ngay việc này

DNVN - Phần mềm gián điệp thương mại Landfall đã nhắm mục tiêu vào người dùng điện thoại Samsung Galaxy ở Trung Đông trong gần một năm, lợi dụng một lỗ hổng bảo mật chưa từng biết đến (zero-day).

Tội phạm Internet: Lỗ hổng bảo mật từ chính người sử dụng / Phát hiện lỗ hổng bảo mật nghiêm trọng trên các dòng điện thoại Samsung

Ảnh minh hoạ. Ảnh: Bloomberg.

Các nhà nghiên cứu tại Đơn vị 42 (Unit 42) thuộc Palo Alto Networks đã công bố phát hiện chi tiết về Landfall, một phần mềm gián điệp Android hoạt động bằng cách khai thác một lỗ hổng bảo mật chưa từng được biết đến trước đó (zero-day) trong phần mềm của điện thoại Samsung Galaxy. Chiến dịch tấn công này được phát hiện lần đầu tiên vào tháng 7/2024 và đã kéo dài gần một năm, tới tháng 4/2025.

Cơ chế tấn công và lỗ hổng khai thác

Landfall khai thác lỗ hổng bảo mật được ghi nhận có tên CVE-2025-21042. Lỗi này nằm trong thư viện xử lý hình ảnh của Samsung.

Phần mềm gián điệp Landfall được nhúng trong các tệp hình ảnh với định dạng tệp DNG, dù gắn nhãn là jpeg và được gửi qua ứng dụng nhắn tin. Landfall có thể lây nhiễm vào điện thoại mà không cần bất kỳ tương tác nào từ người dùng (hay còn gọi là cuộc tấn công "không cần nhấp chuột" - zero-click).

Các thiết bị Samsung Galaxy bị theo dõi bao gồm dòng S22, S23, S24, Z Fold4 và Galaxy Z Flip 4. Lỗ hổng bảo mật này cũng có thể tồn tại trên các thiết bị Galaxy khác và ảnh hưởng đến các phiên bản Android từ 13 đến 15.

Landfall có khả năng giám sát thiết bị trên diện rộng, Sau khi lây nhiễm vào thiết bị, phần mềm gián điệp có thể: Ghi âm (nghe lén micrô của thiết bị); Truy cập và thu thập dữ liệu từ ảnh, tin nhắn, danh bạ, và nhật ký cuộc gọi; Theo dõi vị trí chính xác của nạn nhân. Hiện chưa xác định được ai đứng sau mã độc này, tuy nhiên mã độc có một số đặc điểm trùng lặp với dấu vết của nhóm giám sát chuyên theo dõi những người bất đồng chính kiến ở Emirati (Các Tiểu vương quốc Ả Rập Thống nhất) từ năm 2012 có tên "Stealth Falcon".

Cuộc tấn công bằng phần mềm gián điệp Landfall nhắm mục tiêu vào một số người dùng nhất định. Chiến dịch này được mô tả là một "cuộc tấn công chính xác" vào các cá nhân cụ thể chứ không phải là phần mềm độc hại được phân phối hàng loạt, điều này cho thấy có khả năng các cuộc tấn công này được thúc đẩy bởi hoạt động gián điệp.

Dữ liệu từ VirusTotal của Google, một dịch vụ kiểm tra phần mềm độc hại, nơi người dùng có thể tải lên các chương trình độc hại đáng ngờ, cho thấy các thiết bị bị nhiễm đến từ Maroc, Iran, Iraq và Thổ Nhĩ Kỳ. Đội ngũ an ninh mạng quốc gia Thổ Nhĩ Kỳ đã đánh dấu một trong những máy chủ liên lạc của Landfall là độc hại, cho thấy phần mềm gián điệp này có thể đã chủ động nhắm mục tiêu vào người dùng trong nước.

Samsung đã vá lỗi CVE-2025-21042 vào tháng 4/2025. Các chuyên gia khuyến cáo người dùng Galaxy những dòng trên hãy cập nhật ngày bản vá bảo mật, tối thiểu từ tháng 4/2025.