AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Vulnerabilidades

**Cibercriminales explotan una vulnerabilidad zero-day en la librería de imágenes de Samsung para distribuir el spyware LandFall a través de WhatsApp**

admin

### 1. Introducción

En las últimas semanas, el sector de la ciberseguridad ha sido testigo de una campaña de ataque sumamente sofisticada dirigida a dispositivos Android de Samsung. Un actor de amenazas avanzadas ha explotado una vulnerabilidad zero-day aún sin parchear en la librería de procesamiento de imágenes de Samsung, permitiendo la ejecución remota de código malicioso a través de simples imágenes compartidas por WhatsApp. Esta brecha ha sido utilizada para distribuir un spyware inédito, bautizado como ‘LandFall’, capaz de comprometer de manera furtiva la privacidad y seguridad de las víctimas.

### 2. Contexto del Incidente o Vulnerabilidad

El incidente fue detectado tras la aparición de múltiples reportes de comportamiento anómalo en terminales Samsung, principalmente en Europa y Asia. Investigadores de seguridad identificaron que la puerta de entrada del ataque era una vulnerabilidad zero-day en la librería propietaria de procesamiento de imágenes de Samsung, integrada en numerosas versiones de sus smartphones Galaxy con Android.

La vulnerabilidad permite la ejecución de código arbitrario cuando el dispositivo procesa una imagen maliciosa, incluso sin interacción explícita del usuario, pues WhatsApp descarga y previsualiza imágenes automáticamente. El exploit fue observado en campañas dirigidas, afectando tanto a usuarios individuales como a organizaciones, con un enfoque en la obtención de información confidencial.

### 3. Detalles Técnicos

**CVE y alcance:**
Aunque la vulnerabilidad aún no ha recibido un identificador CVE oficial, Samsung y los principales CERTs han reconocido la existencia de la brecha y trabajan en su clasificación. El fallo reside en la gestión de los metadatos EXIF al parsear imágenes JPEG y PNG dentro de la librería `libimgcodec.so`, utilizada en dispositivos Samsung Galaxy con Android 11, 12 y 13.

**Vectores de ataque:**
El ataque se inicia con el envío de una imagen especialmente manipulada a la víctima a través de WhatsApp. Al recibirla, la aplicación activa el proceso de previsualización, lo que desencadena la explotación de la vulnerabilidad y permite la ejecución de código en el contexto del usuario. No se requiere que la víctima abra la imagen; basta con que el dispositivo la reciba y la procese en segundo plano.

**TTPs (MITRE ATT&CK):**
– **Initial Access:** T1193 (Spearphishing Attachment)
– **Execution:** T1203 (Exploitation for Client Execution)
– **Persistence:** T1547 (Boot or Logon Autostart Execution)
– **Command and Control:** T1071 (Application Layer Protocol)

**Indicadores de compromiso (IoC):**
– Imágenes JPEG/PNG con cabeceras EXIF anómalas y payload embebido.
– Conexiones salientes a dominios C2 ofuscados, registrados recientemente.
– Instalación de binarios con permisos elevados en `/data/data/com.whatsapp/files/`.
– Proceso sospechoso ejecutando bajo el UID de WhatsApp.

**Herramientas y frameworks:**
Los investigadores han observado el uso de payloads generados con Metasploit y la integración de módulos de Cobalt Strike para el control remoto y la exfiltración de datos, lo que denota un nivel avanzado de profesionalización.

### 4. Impacto y Riesgos

El spyware LandFall permite el acceso completo al dispositivo comprometido, incluyendo la extracción de mensajes, credenciales, historial de llamadas, geolocalización y acceso a la cámara y micrófono. Se estima que la campaña ha afectado al menos a 3.500 dispositivos en Europa y Asia en sus primeras semanas, con un potencial de escalado rápido si la vulnerabilidad no se mitiga.

Desde una perspectiva de negocio, el impacto es crítico: filtraciones de datos personales y corporativos, potenciales sanciones bajo el RGPD (Reglamento General de Protección de Datos) y la directiva NIS2, así como el riesgo reputacional y económico asociado a brechas de este tipo (con un coste medio de 4,45 millones de dólares por incidente, según IBM Cost of a Data Breach Report 2023).

### 5. Medidas de Mitigación y Recomendaciones

– **Actualización urgente:** Monitorizar los canales oficiales de Samsung y aplicar cualquier actualización de seguridad en cuanto esté disponible.
– **Desactivar previsualización automática:** Configurar WhatsApp y otras aplicaciones de mensajería para evitar la descarga y vista automática de imágenes.
– **Monitorización de IoC:** Implementar reglas de detección en EDR/SIEM para identificar los IoC relacionados con LandFall.
– **Segmentación de red y control de tráfico saliente:** Restringir conexiones a dominios sospechosos y monitorizar tráfico inusual desde dispositivos móviles.
– **Concienciación:** Informar a usuarios y empleados sobre la amenaza y la importancia de no interactuar con archivos de origen desconocido.

### 6. Opinión de Expertos

Especialistas de Threat Intelligence coinciden en que esta campaña pone de manifiesto la criticidad de las cadenas de suministro software y la necesidad de procesos de revisión y parcheo más ágiles en fabricantes como Samsung. Según Javier García, analista principal de S21sec, “la explotación de librerías de procesamiento de imágenes ya no es una amenaza teórica, sino una realidad que afecta a millones de dispositivos y puede ser utilizada para ataques dirigidos de gran impacto”.

### 7. Implicaciones para Empresas y Usuarios

Las organizaciones con flotas de dispositivos Samsung deben revisar sus políticas de gestión MDM, reforzar el monitoreo y limitar la exposición de datos sensibles en móviles. Los usuarios particulares corren el riesgo de espionaje, robo de identidad y fraude, mientras que las empresas pueden enfrentarse a fugas de información, extorsión digital y sanciones regulatorias.

### 8. Conclusiones

El descubrimiento y explotación activa de esta vulnerabilidad en la librería de imágenes de Samsung subraya la importancia de la seguridad en el software de terceros y la capacidad de los atacantes para innovar en vectores de entrada. La combinación de un zero-day con la distribución por canales de mensajería masivos como WhatsApp aumenta de forma exponencial el riesgo. Es vital para CISOs, analistas SOC y administradores de sistemas mantenerse informados, aplicar medidas de mitigación proactivas y promover una cultura de ciberseguridad basada en la vigilancia continua y la respuesta rápida ante incidentes.

(Fuente: www.bleepingcomputer.com)