Una vulnerabilidad de día cero en los smartphones Samsung ha sido recientemente revelada, explotada por un software espía sofisticado. Descubierto por investigadores en ciberseguridad, este malware utilizó imágenes enviadas por WhatsApp para infiltrarse en los dispositivos de los usuarios. Esto es lo que necesitas saber sobre esta amenaza ahora corregida.
Las 3 cosas que no debes perderte
- LANDFALL explotó una vulnerabilidad de día cero en los smartphones Samsung a través de imágenes de WhatsApp.
- La vulnerabilidad permitía la ejecución de código remoto, dando acceso completo a los dispositivos.
- Samsung corrigió la vulnerabilidad en abril de 2025, limitando así el impacto del software espía.
El descubrimiento de LANDFALL por la unidad 42
Los investigadores de la unidad 42 de Palo Alto Networks identificaron una campaña de software espía dirigida a los usuarios de Samsung en el Medio Oriente. Este ataque explotaba una vulnerabilidad en la biblioteca de procesamiento de imágenes de Samsung, permitiendo a los atacantes tener acceso completo a los smartphones.
La vulnerabilidad, registrada bajo el código CVE-2025-21042, permitió que esta amenaza se propagara discretamente durante varios meses antes de ser rectificada por Samsung.
Mecanismo de ataque por archivos .DNG
El ataque LANDFALL comenzaba con el envío de un archivo .DNG modificado a través de WhatsApp. Este archivo contenía un archivo ZIP que, una vez abierto, ejecutaba un script. Este último descargaba luego componentes adicionales en el dispositivo objetivo.
Entre estos componentes, un manipulador SELinux ajustaba los parámetros de seguridad para garantizar un acceso prolongado del software espía al sistema.
Las capacidades de LANDFALL
LANDFALL está dotado de funcionalidades avanzadas que le permiten recopilar información detallada sobre el dispositivo. Puede grabar las conversaciones, acceder a las fotos, SMS, contactos y al historial de navegación. Además, es capaz de rastrear las ubicaciones de los usuarios.
Este software espía también ha sido diseñado para evitar la detección, lo que lo hace particularmente insidioso. Su persistencia en el sistema le permite permanecer activo incluso después de reinicios.
Orígenes y similitudes con otros softwares espía
Aunque la infraestructura de LANDFALL presenta similitudes con otras operaciones como las llevadas a cabo por Stealth Falcon, los investigadores no han logrado establecer un vínculo directo con empresas de software espía conocidas como NSO Group o Cytrox.
Estas observaciones indican un posible origen en los Emiratos Árabes Unidos, pero los responsables exactos de esta campaña permanecen no identificados.
Contexto de Samsung y sus vulnerabilidades de seguridad
Samsung, uno de los líderes mundiales del mercado de smartphones, ha enfrentado varios desafíos en materia de seguridad a lo largo de los años. Las vulnerabilidades de día cero, como la explotada por LANDFALL, representan una amenaza seria para los usuarios y destacan la importancia de las actualizaciones regulares para proteger los dispositivos.
Para enfrentar estas amenazas, Samsung se compromete a mejorar constantemente la seguridad de sus productos y a trabajar en estrecha colaboración con los investigadores en ciberseguridad para identificar y corregir rápidamente las vulnerabilidades.
