Danny Weber
07:21 11-11-2025
© A. Krivonosov
Unit 42 revela LandFall, spyware que atacó Samsung Galaxy S22‑S24 vía imágenes de WhatsApp explotando CVE‑2025‑21042. Parche de abril 2025: actualiza ya.
Investigadores de Unit 42 de Palo Alto Networks han destapado una campaña de gran alcance que, durante el último año, infectó teléfonos Samsung Galaxy en Oriente Medio. El código malicioso, conocido como LandFall, se difundía mediante imágenes enviadas por WhatsApp y explotaba una vulnerabilidad de día cero en una biblioteca de procesamiento de imágenes de Android desarrollada por Samsung.
El exploit permitía ejecutar código arbitrario en el dispositivo y, en la práctica, hacerse con el control total. Una vez dentro, LandFall abría acceso a datos personales —fotos, chats, contactos— y también al micrófono y a la ubicación en tiempo real. No se requería ninguna interacción: recibir una imagen preparada bastaba para desencadenar el compromiso.
Los especialistas señalan que los ataques comenzaron en julio de 2024 y afectaron a los Galaxy S22, S23 y S24, además de a ciertos modelos Galaxy Z Fold. Se observó actividad en Turquía, Marruecos, Irán e Irak. Los expertos describen a LandFall como un software espía comercial empleado en operaciones dirigidas contra individuos concretos; el patrón apunta más a campañas selectivas que a una propagación indiscriminada.
La vulnerabilidad, registrada como CVE‑2025‑21042, fue corregida en la actualización de seguridad de abril de 2025. Los modelos más recientes, incluido el Galaxy S25, no están afectados. Cuando un ataque se cuela en una foto aparentemente inocua, la complacencia se convierte en la mayor debilidad: un recordatorio claro de instalar cuanto antes las actualizaciones de seguridad, incluso si el teléfono ya no recibe actualizaciones completas del sistema operativo.