구글의 위협 인텔리전스 그룹은 VirusTotal에 업로드된 이미지 파일을 조사했으며, 이는 WhatsApp과 연관되어 있었습니다. 이 파일들은 JPEG처럼 보였지만, 실제로는 삼성의 Quram 이미지 파싱 라이브러리의 취약점을 악용한 DNG 파일이었습니다. 공격 대상 프로세스는 com.samsung.ipservice로, MediaStore에서 이미지를 파싱하는 AI 기반 기능을 위한 삼성 서비스였습니다. WhatsApp이 이미지를 처리하는 방식 때문에, 수신된 이미지를 열기만 해도 악용될 수 있었으며, 이는 잠재적인 "1-클릭" 익스플로잇이 될 수 있었습니다. 분석 결과, DNG 파일에는 예상되는 DNG 표준에서 벗어난 다수의 opcode를 가진 의심스러운 "opcode 목록"이 포함되어 있었습니다. Quram 라이브러리는 타사 제품으로, 이미지 형식 디코딩을 처리하며, 취약점은 Java_com_quramsoft_images_QuramDngBitmap_DecodeDNGImageBufferJNI 내에 존재합니다. 이 익스플로잇은 변형된 DNG 파일을 사용하여 이 특정 네이티브 함수 내에서 메모리 손상을 유발했습니다. 익스플로잇의 목표는 com.samsung.ipservice 프로세스 내에서 코드를 실행하는 것이었습니다. 이 익스플로잇은 scudo 할당자를 대상으로 합니다.