Lo spyware LANDFALL ha preso di mira i telefoni Samsung Galaxy tramite immagini dannose

I ricercatori di sicurezza dell'Unità 42 di Palo Alto Networks hanno scoperto un nuovo e pericoloso spyware di livello commerciale chiamato LANDFALL che ha preso di mira segretamente gli smartphone Samsung Galaxy per mesi.

Questa sofisticata campagna si basava su una falla nascosta per trasformare i normali file di immagini inviati tramite app come WhatsApp in uno strumento di sorveglianza completa. Come spiegato in dettaglio nel post del blog tecnico di Unit 42, alla base di questo attacco c'era una vulnerabilità zero-day precedentemente sconosciuta in una speciale libreria software Samsung ( libimagecodec.quram.so ) che gestisce l'elaborazione delle immagini.

Questa vulnerabilità, identificata come CVE-2025-21042 , ha consentito agli aggressori di infiltrare lo spyware LANDFALL in un dispositivo senza che l'utente facesse nulla, nemmeno cliccando su un link. Questo è chiamato exploit zero-click , ed è tra gli attacchi più pericolosi in quanto non richiede alcun intervento da parte dell'utente e non offre alcuna difesa valida.

Per vostra informazione, CVE-2025-21042 era una "scrittura fuori dai limiti" nella libreria Samsung e classificata CVSS 9.8 (critica). Il problema significa sostanzialmente che lo spyware ha indotto il telefono a scrivere dati dannosi al di fuori della sua memoria designata.

Gli aggressori hanno distribuito lo spyware nascosto all'interno di file di immagine DNG (Digital Negative) appositamente creati e malformati. Queste immagini, con nomi file che suggeriscono l'invio tramite WhatsApp (ad esempio, WhatsApp Image… o WA0000.jpg ), sono state utilizzate per sfruttare la vulnerabilità di Samsung. Unit 42 ha confermato di non aver trovato falle sconosciute in WhatsApp .

L'indagine dell'Unità 42 ha inoltre rivelato che l'operazione LANDFALL era attiva a metà del 2024, mesi prima che Samsung rilasciasse una correzione per il problema nell'aprile 2025. I ricercatori hanno notato che una vulnerabilità simile (CVE-2025-21043) è stata corretta nel settembre 2024 , dimostrando che questo metodo di attacco fa parte di una tendenza più ampia.

Una volta installato su un dispositivo Samsung Galaxy (inclusi modelli come S22, S23, S24, Z Flip4 e Z Fold4), LANDFALL agisce come una spia digitale completa. Le sue capacità spaziano dall'esfiltrazione di dati (rubando chiamate registrate, foto, contatti e cronologia di navigazione) all'impronta digitale del dispositivo (catturando identificatori critici come l'IMEI), fino a funzionalità avanzate di persistenza ed elusione. Può penetrare in profondità nel sistema manipolando i livelli di sicurezza (come SELinux) e nascondersi dalle app di sicurezza per una sorveglianza a lungo termine.

La ricerca suggerisce che si sia trattato di un'azione mirata, non di un'infezione diffusa, con prove che indicano attività in Medio Oriente, comprese possibili vittime in Iraq, Iran, Turchia e Marocco. Sebbene nessun gruppo sia stato ufficialmente ritenuto responsabile, l'Unità 42 ha osservato che i modelli digitali e l'infrastruttura presentano somiglianze con quelli di un noto gruppo di sorveglianza chiamato Stealth Falcon .

Gli attuali utenti Samsung Galaxy che hanno mantenuto aggiornati i propri dispositivi sono protetti, poiché la falla critica è stata risolta nell'aprile 2025. Tuttavia, la scoperta di LANDFALL stessa dimostra come le minacce avanzate possano operare per lungo tempo, completamente nascoste all'utente medio.