Unit 42 svela LandFall: spyware che infetta Samsung Galaxy S22/S23/S24 via immagini WhatsApp sfruttando CVE-2025-21042. Patch di aprile 2025. Aggiornate subito.
© A. Krivonosov
I ricercatori di Unit 42 di Palo Alto Networks hanno scoperto una campagna su larga scala che, nell’ultimo anno, ha infettato smartphone Samsung Galaxy in tutto il Medio Oriente servendosi del malware LandFall. Il codice malevolo si propagava attraverso immagini inviate su WhatsApp e sfruttava una vulnerabilità zero‑day in una libreria di elaborazione delle immagini di Android sviluppata da Samsung.
L’exploit permetteva agli aggressori di eseguire codice arbitrario sul dispositivo, di fatto prendendone il controllo completo. Una volta dentro, LandFall apriva l’accesso ai dati personali — dalle foto alle chat e ai contatti — fino al microfono e persino alla posizione in tempo reale. Non serviva alcun tocco o download: bastava ricevere un’immagine truccata per innescare la compromissione. Un meccanismo che spiazza, perché ribalta l’idea che il pericolo sia legato solo a link o allegati sospetti.
Secondo gli specialisti, gli attacchi sono iniziati a luglio 2024 e hanno colpito i Galaxy S22, S23 e S24, oltre ad alcuni modelli della linea Galaxy Z Fold. Le infezioni sono state osservate in Turchia, Marocco, Iran e Iraq. Gli esperti descrivono LandFall come uno spyware commerciale usato in operazioni mirate contro persone specifiche.
La vulnerabilità, registrata come CVE‑2025‑21042, è stata corretta con l’aggiornamento di sicurezza di aprile 2025. I modelli più recenti, tra cui Galaxy S25, non risultano interessati. Quando un attacco passa attraverso una semplice foto, è l’abitudine a rappresentare il punto debole: un promemoria concreto a installare tempestivamente le patch di sicurezza, anche se il telefono non riceve più aggiornamenti completi del sistema operativo.