La campagne de logiciel espion LANDFALL a été activement exploitée dans certains smartphones l’année dernière, mais a depuis été corrigée par Samsung.
Les chercheurs de l’unité 42 de Palo Alto Networks ont découvert une nouvelle campagne de logiciel espion ciblant les utilisateurs de Samsung au Moyen-Orient. Les smartphones ont été infectés via des images envoyées par WhatsApp. L’attaque exploitait une faille zero-day dans la bibliothèque de traitement d’images de Samsung et a été utilisée pendant des mois avant que Samsung ne corrige le problème en avril 2025.
Vulnérabilité dans le codec d’image
La vulnérabilité (CVE-2025-21042) permet aux attaquants d’exécuter du code arbitraire à distance, leur donnant ainsi un accès complet aux smartphones. La faille a été exploitée par une variante de logiciel espion inconnue appelée LANDFALL, active depuis juillet 2024 et ciblant les smartphones Samsung tels que les modèles Galaxy S22, S23, S24, Z Fold 4 et Z Flip 4 au Moyen-Orient. En Europe, la vulnérabilité n’a pas été exploitée.
L’attaque commençait par un fichier .DNG modifié contenant une archive ZIP. Une fois ouvert, un script était exécuté pour télécharger des composants supplémentaires, dont un manipulateur SELinux (l.so) qui modifiait les paramètres de sécurité pour maintenir l’accès.
Fonctions d’espionnage avancées
LandFall collecte des données détaillées sur l’appareil et peut enregistrer des conversations et l’audio du microphone, suivre les emplacements et même accéder aux photos, SMS, contacts et à l’historique de navigation. Le logiciel espion dispose également de fonctions pour éviter la détection et s’implanter durablement dans le système.
L’infrastructure de LandFall semble similaire à celle d’autres opérations Stealth Falcon provenant des Émirats arabes unis, selon BleepingComputer. Cependant, les chercheurs n’ont pas pu établir de lien direct avec des entreprises de logiciels espions connues telles que NSO Group ou Cytrox.