Se ha encontrado una sofisticada campaña de software espía conocida como “Landfall” dirigida a los propietarios de teléfonos inteligentes Samsung Galaxy y probablemente otros dispositivos Android. La campaña fue descubierta por investigadores de ciberseguridad en Palo Alto Networks’ Unit 42 , quienes dicen que la herramienta utilizó una vulnerabilidad de ejecución remota de código de día cero (CVE-2025-21042) en la biblioteca de procesamiento de imágenes de Samsung libimagecodec.quram.so. La falla tenía una puntuación de gravedad de 9.8 sobre 10 y permitía a los atacantes tomar el control total de un dispositivo sin la interacción del usuario.
Según el informe, el software espía estaba incrustado en archivos de imagen DNG maliciosos que parecían haber sido compartidos a través de WhatsApp u otras aplicaciones de mensajería. Cuando se abrieron, los archivos extrajeron un archivo .zip oculto que instaló un cargador y un módulo manipulador de políticas que otorgaba permisos elevados a través de las políticas SELinux del sistema. Una vez activo, el software espía podría recopilar datos de ubicación, grabaciones de micrófono, historial de llamadas, mensajes, fotos y archivos. También tenía mecanismos de persistencia capaces de ejecutar código nativo, inyectar bibliotecas y evadir la detección eliminando los archivos de imagen originales.
Los dispositivos afectados incluyen los modelos Samsung Galaxy S22, S23, S24, Z Fold4 y Z Flip4. Las campañas parecen haberse centrado en las víctimas de Oriente Medio y el norte de África, incluidos Irak, Irán, Turquía y Marruecos. Aunque no se proporcionó una atribución directa, Unit 42 dice que la herramienta parece de “grado comercial” y probablemente sea utilizada por actores ofensivos del sector privado que brindan servicios a entidades gubernamentales.
Los usuarios de Samsung deben actuar ahora para proteger sus dispositivos
Samsung emitió actualizaciones de firmware en abril de 2025 para abordar la vulnerabilidad, y se insta a los usuarios a aplicar todos los parches disponibles de inmediato. Las víctimas que no aplicaron actualizaciones pueden seguir en riesgo de toma de control remoto sin signos visibles de compromiso. La Unidad 42 identificó al menos seis servidores de comando y control utilizados activamente por los atacantes, lo que indica una operación en curso.
Los expertos en seguridad recomiendan que los propietarios de Galaxy tomen varias medidas clave: asegurarse de que el software de su dispositivo esté completamente actualizado, evitar abrir archivos adjuntos de imágenes de fuentes desconocidas o no solicitadas y habilitar protecciones sólidas a nivel de dispositivo, como la autenticación biométrica o los códigos PIN. También es recomendable usar aplicaciones de tiendas confiables solo y habilitar funciones como Samsung Knox o la detección de amenazas integrada de Android si está disponible. Debido a que el spyware puede acceder a permisos profundos del sistema, es posible que se requieran métodos más allá de las herramientas antimalware estándar.
Este incidente demuestra cómo los vectores de infección basados en mensajes, como los archivos DNG, pueden generar amenazas poderosas para los usuarios móviles. También subraya los riesgos cuando un dispositivo ampliamente utilizado entra en la mira de las herramientas de espionaje avanzadas. Para los usuarios afectados, el enfoque ahora debe estar en la detección, la contención y la corrección.