Un attacco spyware prende di mira i dispostivi Samsung

Giuseppe Saieva | 10 nov 2025 | 🔊 Ascolta la notizia
attacco spyware

Unit 42 di Palo Alto Networks identifica lo spyware LANDFALL, che sfrutta vulnerabilità zero-day via WhatsApp

I ricercatori di Unit 42 di Palo Alto Networks hanno scoperto una famiglia di spyware Android precedentemente sconosciuta, denominata LANDFALL, che ha sfruttato una vulnerabilità zero-day nella libreria di elaborazione delle immagini di Samsung per prendere di mira i dispositivi Galaxy, in particolare in Medio Oriente.

Leggi anche Arresto a Berlino: sventato piano per un grave attacco di matrice jihadista

Si tratta di uno spyware di grado commerciale, che viene distribuito tramite file immagine DNG malevoli via Whatsapp. Questo metodo operativo rientra in un trend in crescita di attacchi che prendono di mira le librerie di elaborazione delle immagini mobili, simile a una catena di attacco recentemente divulgata che ha colpito i dispositivi Apple.

Questa vulnerabilità (CVE-2025-21042) è attivamente sfruttata nel mondo reale da metà 2024, mesi prima che Samsung la correggesse ad aprile 2025. La nostra ricerca offre una retrospettiva inedita su questa operazione sofisticata e finora non rilevata, che mostra tutti i segni distintivi di un attore offensivo del settore privato, o un gruppo di spyware commerciale, che prende di mira individui in Medio Oriente.

Risultati principali:

  • Nuovo spyware commerciale: LANDFALL, spyware sofisticato progettato per prendere di mira specifici modelli Samsung Galaxy (inclusi i dispositivi S22, S23, S24 e Fold/Flip).
  • Exploit zero-day: l’attacco ha utilizzato CVE-2025-21042, una vulnerabilità zero-day nella libreria di elaborazione delle immagini di Samsung che è stata sfruttata prima che fosse disponibile una patch.
  • WhatsApp come vettore di distribuzione: lo spyware era incorporato in un file immagine DNG corrotto, che sembra proprio essere stato distribuito tramite WhatsApp, probabilmente senza richiedere alcuna interazione da parte dell’utente (zero-click).
  • Controllo totale: LANDFALL ha permesso un controllo completo del telefono, inclusi registrazione del microfono, tracciamento della posizione ed esfiltrazione di foto, contatti e registri delle chiamate.
  • Campagna mirata: le evidenze indicano intrusioni mirate in Iraq, Iran, Turchia e Marocco, con collegamenti infrastrutturali e tecniche operative simili a quelle di noti fornitori di spyware commerciali.