Os utilizadores de telemóveis Samsung foram alvo direto de uma campanha de malware disseminada pelo WhatsApp. A descoberta foi feita pela Unit 42, divisão de inteligência contra ameaças cibernéticas da Palo Alto Networks, que reportou recentemente a operação, ativa desde meados de 2024, e que colocou em risco dados e informações pessoais de utilizadores de smartphones Galaxy.
De acordo com o relatório, foram identificados casos de infeção deste malware nos seguintes dispositivos: Galaxy S22, S23, S24, Z Flip 4 e Z Fold 4.
A boa notícia é que a falha de segurança, identificada como CVE-2025-21042, já foi corrigida pela Samsung em abril deste ano. No entanto, os detalhes sobre esta ameaça só foram divulgados recentemente.
Como funcionava a campanha de malware direcionada aos utilizadores Samsung
Segundo os investigadores da Unit 42, o malware utilizado nesta campanha era um spyware (software de espionagem) de nível comercial para Android, denominado LANDFALL. A ameaça foi direcionada principalmente a utilizadores do Médio Oriente, em países como Iraque, Irão, Turquia e Marrocos.
O spyware, focado na extração de dados, conseguiu roubar informações sensíveis, como gravações de microfone, chamadas, bases de dados de contactos, mensagens SMS, fotografias, histórico de navegação, dados de localização e muito mais.
A infeção ocorria através do partilhamento, via WhatsApp, de ficheiros de imagem DNG maliciosos — um formato criado pela Adobe para comprimir ficheiros RAW de forma mais eficiente.
Dentro desses ficheiros DNG adulterados, a Unit 42 descobriu ficheiros ZIP embutidos responsáveis por extrair e executar o spyware. As amostras analisadas pelos investigadores apresentavam imagens com nomes como “WA000” e “WhatsApp Image”.
A vulnerabilidade afetava apenas smartphones da Samsung devido a uma falha na biblioteca de processamento de imagens da fabricante sul-coreana, corrigida em abril de 2025.
A análise também indica que esta vulnerabilidade pode estar relacionada com outra falha da mesma biblioteca, identificada como CVE-2025-21043, também associada a ficheiros DNG em dispositivos Galaxy. Esta última foi corrigida em setembro.
Até o momento, não há informações sobre quem é grupo ou agente malicioso responsável por essa campanha do LANDFALL.
Esta campanha recém-divulgada lembra outra operação descoberta este ano, que explorava ficheiros DNG em iPhones e também envolvia o popular mensageiro da Meta. A vulnerabilidade foi descoberta pela DarkNavyOrg, organização independente de segurança, em setembro, e já foi corrigida pela Apple.
