Hackers giám sát điện thoại Samsung bằng hình ảnh “bẫy”, không cần người dùng nhấp vào
Phần mềm gián điệp Landfall lợi dụng file ảnh “bẫy” để giám sát điện thoại Samsung Galaxy mà không cần người dùng nhấp vào. Lỗ hổng đã được vá trong bản cập nhật Android 13-15 tháng 4/2025 nhưng vẫn cảnh báo nguy cơ tấn công cao.
Một chiến dịch gián điệp tinh vi đã tiết lộ cách các hacker có thể lợi dụng lỗ hổng trong thư viện xử lý hình ảnh trên điện thoại Samsung để xâm nhập mà không cần người dùng thực hiện bất kỳ thao tác nào. Vụ việc này cho thấy các mối đe dọa trên di động đang phát triển nhanh chóng và ngày càng tinh vi hơn.
Chiến dịch gián điệp nhắm vào người dùng Samsung Galaxy
Trong nhiều tháng, nhóm hacker đã triển khai một chiến dịch gián điệp nhắm đến một số người dùng Samsung Galaxy, sử dụng lỗ hổng chưa được vá trong phần mềm Android của Samsung. Theo báo cáo từ Palo Alto Networks Unit 42, phần mềm gián điệp mang tên Landfall hoạt động từ phần lớn năm 2024 đến đầu năm 2025, cho phép hacker thu thập dữ liệu mà người dùng không hề hay biết. Samsung đã vá lỗ hổng (CVE-2025-21042) trong bản cập nhật bảo mật tháng 4/2025, nhưng trước đó, lỗ hổng này đã đủ thời gian để thực hiện giám sát có chủ đích trên nhiều quốc gia.
Các mô hình Galaxy bị ảnh hưởng bao gồm S22 đến S24 và các dòng gập như Z Flip 4 và Z Fold 4, với dấu vết tập trung tại Iraq, Iran, Thổ Nhĩ Kỳ và Morocco cho thấy đây là các mục tiêu được chọn lọc kỹ lưỡng chứ không phải tấn công đại trà.
LANDFALL nhắm vào các người dùng điện thoại Samsung
Cách thức hoạt động của Landfall
Landfall lợi dụng các file ảnh kỹ thuật số bị chỉnh sửa, đặc biệt là file DNG dựa trên định dạng TIFF, chứa các thư viện ZIP độc hại. Khi file ảnh bị nhiễm được mở, trình xử lý hình ảnh nền trên thiết bị tự động giải nén và chạy payload, hoàn toàn không cần người dùng nhấp vào.
Sau khi xâm nhập, malware thay đổi chính sách SELinux để mở rộng quyền truy cập, cho phép thu thập thông tin thiết bị, ứng dụng cài đặt, danh bạ, thư mục file và dữ liệu trình duyệt. Phần mềm gián điệp thậm chí có thể kích hoạt micro và camera từ xa, biến thiết bị thành công cụ giám sát hoàn chỉnh.
Cách thức hoạt động của LANDFALL
Dấu vết và nguồn gốc chuyên nghiệp
Phân tích của Unit 42 cho thấy Landfall được xây dựng như một nền tảng giám sát thương mại, có nhiều biện pháp né tránh phát hiện và dấu hiệu trùng lặp với các spyware của các nhà thầu giám sát chuyên nghiệp như NSO Group hay Variston. Dù chưa xác định chính xác nhóm tác giả, các chuyên gia nhận định đây là một chiến dịch gián điệp tinh vi, được phát triển bởi đội ngũ chuyên nghiệp với nhiều nguồn lực.
Biện pháp phòng ngừa
Samsung xác nhận bản cập nhật tháng 4/2025 đã vá lỗ hổng trên Android 13 đến 15. Tuy nhiên, do Landfall có thể thay đổi cấu hình hệ thống, việc gỡ bỏ hoàn toàn phần mềm gián điệp vẫn gặp khó khăn ngay cả sau khi cập nhật. Người dùng chưa cập nhật bản vá vẫn có nguy cơ bị tấn công nếu lỗ hổng được tái sử dụng trong tương lai.
Xem thêm: Tinder Áp Dụng AI Để Cải Thiện Trải Nghiệm Hẹn Hò Và Thu Hút Người Dùng Quay Lại
Bài cùng chuyên mục