Uma sofisticada campanha de spyware conhecida como “Landfall” foi encontrada visando proprietários de smartphones Samsung Galaxy e provavelmente outros dispositivos Android. A campanha foi descoberta por pesquisadores de segurança cibernética da Palo Alto Networks’ Unit 42 , que dizem que a ferramenta usou uma vulnerabilidade de execução remota de código de dia zero (CVE-2025-21042) na biblioteca de processamento de imagens da Samsung libimagecodec.quram.so. A falha teve uma pontuação de gravidade de 9,8 em 10 e permitiu que os invasores assumissem o controle total de um dispositivo sem interação do usuário.
De acordo com o relatório, o spyware foi incorporado em arquivos de imagem DNG maliciosos que pareciam ter sido compartilhados via WhatsApp ou outros aplicativos de mensagens. Quando abertos, os arquivos extraíam um arquivo .zip oculto que instalava um carregador e um módulo manipulador de políticas que concedia permissões elevadas por meio das políticas SELinux do sistema. Uma vez ativo, o spyware pode coletar dados de localização, gravações de microfone, histórico de chamadas, mensagens, fotos e arquivos. Ele também tinha mecanismos de persistência capazes de executar código nativo, injetar bibliotecas e evitar a detecção removendo os arquivos de imagem originais.
Os dispositivos afetados incluem os modelos Samsung Galaxy S22, S23, S24, Z Fold4 e Z Flip4. As campanhas parecem ter se concentrado em vítimas no Oriente Médio e Norte da África, incluindo Iraque, Irã, Turquia e Marrocos. Embora nenhuma atribuição direta tenha sido fornecida, a Unidade 42 diz que a ferramenta parece “de nível comercial” e provavelmente é usada por atores ofensivos do setor privado que prestam serviços a entidades governamentais.
Os usuários da Samsung devem agir agora para proteger seus dispositivos
A Samsung lançou atualizações de firmware em abril de 2025 para resolver a vulnerabilidade, e os usuários são incentivados a aplicar todos os patches disponíveis imediatamente. As vítimas que não aplicaram as atualizações podem permanecer em risco de aquisição remota sem nenhum sinal visível de comprometimento. A Unidade 42 identificou pelo menos seis servidores de comando e controle usados ativamente pelos invasores, indicando uma operação em andamento.
Os especialistas em segurança recomendam que os proprietários do Galaxy tomem várias medidas importantes: garantir que o software do dispositivo esteja totalmente atualizado, evitar abrir anexos de imagem de fontes desconhecidas ou não solicitadas e habilitar proteções fortes no nível do dispositivo, como autenticação biométrica ou códigos PIN. Também é aconselhável usar aplicativos apenas de lojas confiáveis e habilitar recursos como o Samsung Knox ou a detecção de ameaças integrada do Android, se disponível. Como o spyware pode acessar permissões profundas do sistema, podem ser necessários métodos além das ferramentas antimalware padrão.
Este incidente demonstra como os vetores de infecção baseados em mensagens, como arquivos DNG, podem fornecer ameaças poderosas aos usuários móveis. Também ressalta os riscos quando um dispositivo amplamente utilizado entra na mira de ferramentas avançadas de espionagem. Para os usuários afetados, o foco agora deve estar na detecção, contenção e correção.