Una falla zero-day nei telefoni Samsung è stata recentemente messa in luce, sfruttata da un software spia sofisticato. Scoperto da ricercatori in cybersicurezza, questo malware ha utilizzato immagini inviate su WhatsApp per infiltrarsi nei dispositivi degli utenti. Ecco cosa devi sapere su questa minaccia ora corretta.
Le 3 informazioni da non perdere
- LANDFALL ha sfruttato una falla zero-day nei telefoni Samsung tramite immagini WhatsApp.
- La vulnerabilità permetteva un’esecuzione di codice a distanza, dando accesso completo ai dispositivi.
- Samsung ha corretto la falla nell’aprile 2025, limitando così l’impatto del software spia.
La scoperta di LANDFALL da parte dell’unità 42
I ricercatori dell’unità 42 di Palo Alto Networks hanno identificato una campagna di software spia che prendeva di mira gli utenti Samsung in Medio Oriente. Questo attacco sfruttava una falla nella libreria di elaborazione immagini di Samsung, permettendo agli attaccanti di avere accesso completo agli smartphone.
La vulnerabilità, elencata sotto il codice CVE-2025-21042, ha permesso a questa minaccia di diffondersi discretamente per diversi mesi prima di essere corretta da Samsung.
Meccanismo di attacco tramite file .DNG
L’attacco LANDFALL iniziava con l’invio di un file .DNG modificato tramite WhatsApp. Questo file conteneva un archivio ZIP che, una volta aperto, eseguiva uno script. Quest’ultimo scaricava poi componenti aggiuntivi sul dispositivo bersaglio.
Tra questi componenti, un manipolatore SELinux regolava i parametri di sicurezza per garantire un accesso prolungato del software spia al sistema.
Le capacità di LANDFALL
LANDFALL è dotato di funzionalità avanzate che gli permettono di raccogliere informazioni dettagliate sul dispositivo. Può registrare le conversazioni, accedere a foto, SMS, contatti e alla cronologia di navigazione. Inoltre, è in grado di tracciare le posizioni degli utenti.
Questo software spia è stato anche progettato per evitare la rilevazione, rendendolo particolarmente insidioso. La sua persistenza nel sistema gli permette di rimanere attivo anche dopo i riavvii.
Origini e somiglianze con altri software spia
Sebbene l’infrastruttura di LANDFALL presenti somiglianze con altre operazioni come quelle condotte da Stealth Falcon, i ricercatori non sono riusciti a stabilire un collegamento diretto con aziende di software spia conosciute come NSO Group o Cytrox.
Queste osservazioni indicano una possibile origine negli Emirati Arabi Uniti, ma i responsabili esatti di questa campagna rimangono non identificati.
Contesto di Samsung e delle sue vulnerabilità di sicurezza
Samsung, uno dei leader mondiali nel mercato degli smartphone, ha affrontato diverse sfide in materia di sicurezza nel corso degli anni. Le falle zero-day, come quella sfruttata da LANDFALL, rappresentano una minaccia seria per gli utenti e mettono in luce l’importanza degli aggiornamenti regolari per proteggere i dispositivi.
Per affrontare queste minacce, Samsung si impegna a migliorare costantemente la sicurezza dei suoi prodotti e a lavorare a stretto contatto con i ricercatori in cybersicurezza per identificare e correggere rapidamente le vulnerabilità.
