Группа Google по анализу угроз исследовала файлы изображений, загруженные в VirusTotal, связанные с WhatsApp. Эти файлы, выглядевшие как JPEG, на самом деле были файлами DNG, использующими уязвимость в библиотеке обработки изображений Quram от Samsung. Целевым процессом был com.samsung.ipservice, служба Samsung для функций на основе искусственного интеллекта, которая обрабатывает изображения в MediaStore. Обработка изображений WhatsApp означала, что эксплойт мог быть запущен при открытии полученного изображения, что делало его потенциальным эксплойтом "в один клик". Анализ показал, что файлы DNG содержали подозрительные "списки кодов операций" с многочисленными кодами операций, отклоняющимися от ожидаемых стандартов DNG. Библиотека Quram, продукт стороннего производителя, обрабатывает декодирование формата изображения, и уязвимость находится в Java_com_quramsoft_images_QuramDngBitmap_DecodeDNGImageBufferJNI. Эксплойт использовал поврежденные файлы DNG для запуска повреждения памяти в этой конкретной нативной функции. Целью эксплойта было выполнение кода в процессе com.samsung.ipservice. Эксплойт нацелен на аллокатор scudo.