Una grave vulnerabilità nei dispositivi Samsung Galaxy Android, ora corretta, è stata sfruttata come zero-day per diffondere un potente spyware Android chiamato LANDFALL. Questo attacco ha colpito utenti in Medio Oriente, in particolare in Iraq, Iran, Turchia e Marocco, tramite l'invio di immagini DNG malevole su WhatsApp. Alla base dell’attacco c’è la falla CVE-2025-21042, una vulnerabilità out-of-bounds write individuata nella libreria libimagecodec.quram.so. Tale falla consentiva a un attaccante remoto di eseguire codice arbitrario sul dispositivo, aprendo la porta all’installazione silenziosa dello spyware.

Samsung ha risolto questo problema con l’aggiornamento di sicurezza di aprile 2025, ma la vulnerabilità era già stata attivamente sfruttata prima della patch. Secondo le analisi, le immagini DNG dannose contenevano un file ZIP nascosto che, una volta aperto grazie allo sfruttamento della vulnerabilità, estraeva una libreria condivisa per avviare l’installazione di LANDFALL. All’interno dello stesso archivio era presente anche un’altra libreria progettata per modificare la policy SELinux del dispositivo, garantendo allo spyware privilegi elevati e la persistenza.

LANDFALL si comporta come uno spyware modulare di livello commerciale: una volta installato, può accedere a dati riservati come registrazioni audio dal microfono, posizione GPS, foto, contatti, SMS, file e registri delle chiamate. Il malware è progettato specificamente per compromettere i modelli Galaxy S22, S23, S24, Z Fold 4 e Z Flip 4. La catena di attacco ipotizza anche un possibile utilizzo di tecniche zero-click, non confermate, che avrebbero potuto permettere l’esecuzione della minaccia senza alcuna interazione da parte dell’utente.

L’infrastruttura di comando e controllo di LANDFALL mostra alcune similitudini con quella nota come Stealth Falcon, anche se non ci sono prove di un collegamento diretto. Le indagini evidenziano che l’ondata di immagini DNG malevole potrebbe far parte di una campagna più ampia, che ha sfruttato in modo simile anche dispositivi Apple tramite catene di exploit zero-day.

La scoperta di questo attacco sottolinea l’importanza di aggiornare tempestivamente i dispositivi e di essere vigili nei confronti di file multimediali ricevuti da canali di messaggistica, anche se apparentemente innocui. Sebbene la vulnerabilità sia stata chiusa, alcune infrastrutture collegate a LANDFALL risultano ancora attive, suggerendo la possibilità di attività persistente o di futuri attacchi simili.