Un nuevo software espía de grado comercial, llamado Landfall, logró infiltrarse en teléfonos Samsung Galaxy durante meses sin que los usuarios hicieran clic o descargaran nada. El ataque fue descubierto por investigadores de seguridad de Unit 42, el equipo de ciberseguridad de Palo Alto Networks, quienes revelaron que la campaña estuvo activa desde mediados de 2024 y afectó principalmente a usuarios en Medio Oriente, incluyendo países como Irán, Irak, Turquía y Marruecos.
Landfall aprovechó una vulnerabilidad crítica en la biblioteca de procesamiento de imágenes de Android utilizada por Samsung, específicamente en el componente libimagecodec.quram.so. Esta falla, identificada como CVE-2025-21042, permitía a los atacantes ejecutar código malicioso en el dispositivo simplemente enviando una imagen manipulada a través de aplicaciones de mensajería como WhatsApp.
Este tipo de ataque se conoce como ‘clic cero’, porque no requiere que la víctima interactúe con el archivo. Basta con recibir la imagen para que el dispositivo quede comprometido. Una vez infectado, el software espía podía acceder a fotos, contactos, registros de llamadas, activar el micrófono y rastrear la ubicación del usuario.
TE PUEDE INTERESAR: Veeam lanza app para proteger datos en Microsoft Sentinel
Qué dispositivos fueron afectados
- El código fuente de Landfall apuntaba a varios modelos de Samsung Galaxy, incluyendo los Galaxy S22, S23, S24 y algunos modelos plegables de la serie Z.
- Los dispositivos que ejecutaban Android 13, 14 o 15 también eran vulnerables.
- Samsung corrigió la falla en abril de 2025, pero para entonces el software espía ya había estado activo durante meses sin ser detectado.
- Los investigadores encontraron muestras del malware en servicios como VirusTotal, subidas desde ubicaciones en Medio Oriente.
- Aunque no se ha confirmado la identidad del desarrollador de Landfall, los investigadores encontraron similitudes con la infraestructura digital utilizada por Stealth Falcon. Se trata de un conocido proveedor de software espía vinculado a campañas de vigilancia en Emiratos Árabes Unidos desde 2012. Todo apunta a que se trató de una operación de espionaje dirigida, no de una campaña masiva.
¿Y los usuarios de iPhone?
- Curiosamente, Apple también parchó una vulnerabilidad similar en agosto de 2025, relacionada con el procesamiento de imágenes DNG.
- Aunque no se ha confirmado si fue el mismo grupo detrás de ambos ataques, los expertos advierten que estas fallas reflejan un patrón más amplio de explotación de bibliotecas de imágenes en plataformas móviles.