Prima della patch di aprile 2025, i telefoni Samsung presentavano una vulnerabilità nella libreria di elaborazione delle immagini. È un attacco a zero clic perché l’utente non ha bisogno di avviare nulla. Quando il sistema elabora l’immagine dannosa per la visualizzazione, estrae i file della libreria di oggetti condivisi dallo zip per eseguire lo spyware Landfall. Il payload modifica anche la policy SELinux del dispositivo per garantire a Landfall autorizzazioni estese e accesso ai dati.
Come Landfall sfrutta i telefoni Samsung
Credito: Unità 42
Sembra che i file infetti vengano consegnati agli obiettivi tramite app di messaggistica come WhatsApp. L’Unità 42 rileva che il codice di Landfall si riferisce a diversi telefoni Samsung specifici, tra cui Galaxy S22, Galaxy S23, Galaxy S24, Galaxy Z Flip 4 e Galaxy Z Fold 4. Una volta attivato, Landfall raggiunge un server remoto con le informazioni iniziali del dispositivo. Gli operatori possono quindi estrarre una grande quantità di dati come ID utente e hardware, app installate, contatti, eventuali file archiviati sul dispositivo e cronologia di navigazione. Può attivare la fotocamera e il microfono per spiare l’utente.
Rimuovere lo spyware non è un compito facile. Grazie alla sua capacità di manipolare le policy di SELinux, può penetrare in profondità nel software di sistema. Dispone di diversi strumenti che aiutano a evitare il rilevamento. Sulla base dei totali dei virus forniti, l’Unità 42 ritiene che Landfall sia stato attivo in Iraq, Iran, Turchia e Marocco nel 2024 e all’inizio del 2025. La società informa che la vulnerabilità potrebbe essere presente nel software Samsung da Android 13 ad Android 15.
L’Unità 42 afferma che diversi schemi di denominazione e risposte di server corrispondono a spyware industriale sviluppato da importanti società di cyber-intelligence come NSO Group e Variston. Tuttavia, non possono collegare direttamente l’approdo a un gruppo specifico. Sebbene questo attacco sia stato altamente mirato, i dettagli sono ora noti e altri autori di minacce possono ora utilizzare lo stesso metodo per accedere a dispositivi privi di patch. Chiunque abbia un telefono Samsung supportato dovrebbe assicurarsi di avere la patch di aprile 2025 o successiva.
