El software espía LANDFALL atacó teléfonos Samsung Galaxy mediante imágenes maliciosas.
Investigadores de seguridad de la Unidad 42 de Palo Alto Networks han descubierto un nuevo y peligroso software espía de nivel comercial llamado LANDFALL que atacó secretamente a los teléfonos inteligentes Samsung Galaxy durante meses.
Esta sofisticada campaña se basó en una vulnerabilidad oculta para convertir archivos de imagen cotidianos enviados a través de aplicaciones como WhatsApp en una herramienta de vigilancia exhaustiva. Tal como se detalla en la publicación técnica del blog de Unit 42, la base de este ataque fue una vulnerabilidad de día cero hasta entonces desconocida en una biblioteca de software especial de Samsung ( libimagecodec.quram.so ) que gestiona el procesamiento de imágenes.
Esta vulnerabilidad, identificada como CVE-2025-21042 , permitía a los atacantes instalar el spyware LANDFALL en un dispositivo sin que el usuario hiciera nada, ni siquiera pulsar un enlace. Esto se conoce como un ataque de cero clic , uno de los más peligrosos, ya que no requiere ninguna acción por parte del usuario y no ofrece ninguna defensa efectiva.
Para su información, la vulnerabilidad CVE-2025-21042 era una «escritura fuera de límites» en la biblioteca de Samsung y tenía una calificación CVSS de 9.8 (Crítica). Básicamente, el problema significa que el spyware engañaba al teléfono para que escribiera datos maliciosos fuera de su área de memoria designada.
Los atacantes distribuyeron el software espía oculto en archivos de imagen DNG (negativo digital) especialmente creados y malformados. Estas imágenes, con nombres de archivo que sugerían que se habían enviado a través de WhatsApp (por ejemplo, «Imagen de WhatsApp…» o WA0000.jpg »), se utilizaron para explotar la vulnerabilidad de Samsung. La Unidad 42 confirmó que no encontró fallos desconocidos en WhatsApp .
La investigación de Unit 42 reveló además que la operación LANDFALL estuvo activa a mediados de 2024, meses antes de que Samsung lanzara una solución para el problema en abril de 2025. Los investigadores observaron que una vulnerabilidad similar (CVE-2025-21043) fue corregida en septiembre de 2024 , lo que demuestra que este método de ataque es parte de una tendencia más amplia.
Una vez instalado en un dispositivo Samsung Galaxy (incluidos modelos como el S22, S23, S24, Z Flip4 y Z Fold4), LANDFALL funciona como un completo espía digital. Sus capacidades abarcan desde la exfiltración de datos (robo de llamadas grabadas, fotos, contactos e historial de navegación) y la identificación del dispositivo (captura de identificadores críticos como el IMEI) hasta funciones avanzadas de persistencia y evasión. Puede infiltrarse profundamente en el sistema manipulando las capas de seguridad (como SELinux) y ocultarse de las aplicaciones de seguridad para una vigilancia prolongada.
La investigación sugiere que se trató de un esfuerzo dirigido, no de una infección generalizada, con indicios que apuntan a actividades en Oriente Medio, incluyendo posibles víctimas en Irak, Irán, Turquía y Marruecos. Si bien no se culpa oficialmente a ningún grupo, la Unidad 42 observó que los patrones digitales y la infraestructura presentan similitudes con los de un conocido grupo de vigilancia llamado Stealth Falcon .
Los usuarios actuales de Samsung Galaxy que han mantenido sus dispositivos actualizados están protegidos, ya que la vulnerabilidad crítica se corrigió en abril de 2025. Sin embargo, el descubrimiento de LANDFALL demuestra cómo las amenazas avanzadas pueden operar durante mucho tiempo, completamente ocultas para el usuario promedio.
HackRead
