È stata individuata una sofisticata campagna spyware nota come “Landfall” che prende di mira i possessori di smartphone Samsung Galaxy e probabilmente di altri dispositivi Android. La campagna è stata scoperta dai ricercatori di sicurezza informatica di Palo Alto Networks’ Unit 42 , che affermano che lo strumento utilizzava una vulnerabilità di esecuzione di codice remoto zero-day (CVE-2025-21042) nella libreria di elaborazione delle immagini di Samsung libimagecodec.quram.so. Il difetto aveva un punteggio di gravità di 9,8 su 10 e consentiva agli aggressori di assumere il pieno controllo di un dispositivo senza l’interazione dell’utente.
Secondo il rapporto, lo spyware era incorporato in file di immagine DNG dannosi che sembravano essere stati condivisi tramite WhatsApp o altre app di messaggistica. Una volta aperti, i file estraevano un archivio .zip nascosto che installava un loader e un modulo di manipolazione delle policy che concedeva autorizzazioni elevate attraverso le policy SELinux del sistema. Una volta attivo, lo spyware potrebbe raccogliere dati sulla posizione, registrazioni del microfono, cronologia delle chiamate, messaggi, foto e file. Aveva anche meccanismi di persistenza in grado di eseguire codice nativo, iniettare librerie ed eludere il rilevamento rimuovendo i file immagine originali.
I dispositivi interessati includono i modelli Samsung Galaxy S22, S23, S24, Z Fold4 e Z Flip4. Le campagne sembrano essersi concentrate sulle vittime in Medio Oriente e Nord Africa, tra cui Iraq, Iran, Turchia e Marocco. Sebbene non sia stata fornita alcuna attribuzione diretta, l’Unità 42 afferma che lo strumento sembra “di livello commerciale” ed è probabilmente utilizzato da attori offensivi del settore privato che forniscono servizi a enti governativi.
Gli utenti Samsung devono agire ora per proteggere i propri dispositivi
Samsung ha rilasciato aggiornamenti del firmware nell’aprile 2025 per risolvere la vulnerabilità e gli utenti sono invitati ad applicare immediatamente tutte le patch disponibili. Le vittime che non hanno applicato gli aggiornamenti possono rimanere a rischio di acquisizione remota senza alcun segno visibile di compromissione. L’Unità 42 ha identificato almeno sei server di comando e controllo utilizzati attivamente dagli aggressori, indicando un’operazione in corso.
Gli esperti di sicurezza raccomandano ai possessori di Galaxy di adottare diversi passaggi chiave: assicurarsi che il software del proprio dispositivo sia completamente aggiornato, evitare di aprire allegati di immagini da fonti sconosciute o non richieste e abilitare forti protezioni a livello di dispositivo come l’autenticazione biometrica o i codici PIN. Si consiglia inoltre di utilizzare solo app da store affidabili e di abilitare funzionalità come Samsung Knox o il rilevamento delle minacce integrato di Android, se disponibile. Poiché lo spyware può accedere alle autorizzazioni di sistema approfondite, potrebbero essere necessari metodi diversi dagli strumenti antimalware standard.
Questo incidente dimostra come i vettori di infezione basati su messaggi, come i file DNG, possano rappresentare potenti minacce per gli utenti mobili. Sottolinea anche i rischi che corrono quando un dispositivo ampiamente utilizzato entra nel mirino degli strumenti di spionaggio avanzati. Per gli utenti interessati, l’attenzione deve ora essere rivolta al rilevamento, al contenimento e alla correzione.