Une campagne sophistiquée de logiciels espions connue sous le nom de « Landfall » a été découverte ciblant les propriétaires de smartphones Samsung Galaxy et probablement d’autres appareils Android. La campagne a été découverte par des chercheurs en cybersécurité de Palo Alto Networks’ Unit 42 , qui affirment que l’outil a utilisé une vulnérabilité d’exécution de code à distance zero-day (CVE-2025-21042) dans la bibliothèque de traitement d’images de Samsung libimagecodec.quram.so. La faille avait un score de gravité de 9,8 sur 10 et permettait aux attaquants de prendre le contrôle total d’un appareil sans interaction de l’utilisateur.
Selon le rapport, le logiciel espion était intégré dans des fichiers d’image DNG malveillants qui semblaient avoir été partagés via WhatsApp ou d’autres applications de messagerie. Lorsqu’ils étaient ouverts, les fichiers extrayaient une archive .zip cachée qui installait un chargeur et un module de manipulation de politiques accordant des autorisations élevées via les politiques SELinux du système. Une fois actif, le logiciel espion peut collecter des données de localisation, des enregistrements de microphone, l’historique des appels, des messages, des photos et des fichiers. Il disposait également de mécanismes de persistance capables d’exécuter du code natif, d’injecter des bibliothèques et d’échapper à la détection en supprimant les fichiers image originaux.
Les appareils concernés comprennent les modèles Samsung Galaxy S22, S23, S24, Z Fold4 et Z Flip4. Les campagnes semblent s’être concentrées sur les victimes au Moyen-Orient et en Afrique du Nord, notamment en Irak, en Iran, en Turquie et au Maroc. Bien qu’aucune attribution directe n’ait été fournie, l’unité 42 indique que l’outil semble de « qualité commerciale » et qu’il est probablement utilisé par des acteurs offensifs du secteur privé qui fournissent des services à des entités gouvernementales.
Les utilisateurs de Samsung doivent agir maintenant pour protéger leurs appareils
Samsung a publié des mises à jour du firmware en avril 2025 pour corriger la vulnérabilité, et les utilisateurs sont invités à appliquer immédiatement tous les correctifs disponibles. Les victimes qui n’ont pas appliqué les mises à jour peuvent rester exposées au risque d’une prise de contrôle à distance sans aucun signe visible de compromission. L’unité 42 a identifié au moins six serveurs de commande et de contrôle activement utilisés par les attaquants, indiquant une opération en cours.
Les experts en sécurité recommandent aux propriétaires de Galaxy de prendre plusieurs mesures clés : s’assurer que le logiciel de leur appareil est entièrement à jour, éviter d’ouvrir des pièces jointes d’images provenant de sources inconnues ou non sollicitées et activer des protections solides au niveau de l’appareil, telles que l’authentification biométrique ou les codes PIN. Il est également conseillé d’utiliser uniquement des applications provenant de magasins de confiance et d’activer des fonctionnalités telles que Samsung Knox ou la détection des menaces intégrée d’Android, le cas échéant. Étant donné que le logiciel espion peut accéder à des autorisations système approfondies, des méthodes autres que les outils anti-malware standard peuvent être nécessaires.
Cet incident montre comment les vecteurs d’infection basés sur des messages, tels que les fichiers DNG, peuvent constituer de puissantes menaces pour les utilisateurs mobiles. Cela souligne également les risques lorsqu’un appareil largement utilisé entre dans la ligne de mire des outils d’espionnage avancés. Pour les utilisateurs concernés, l’accent doit désormais être mis sur la détection, le confinement et la remédiation.