Antes del parche de abril de 2025, los teléfonos Samsung tenían una vulnerabilidad en su biblioteca de procesamiento de imágenes. Este es un ataque sin clic porque el usuario no necesita iniciar nada. Cuando el sistema procesa la imagen maliciosa para mostrarla, extrae los archivos de la biblioteca de objetos compartidos del ZIP para ejecutar el software espía Landfall. La carga útil también modifica la política SELinux del dispositivo para otorgarle a Landfall permisos ampliados y acceso a los datos.
Cómo Landfall explota los teléfonos Samsung.
Crédito: Unidad 42
Cómo Landfall explota los teléfonos Samsung.
Crédito: Unidad 42
Los archivos infectados parecen haber sido entregados a los objetivos a través de aplicaciones de mensajería como WhatsApp. La Unidad 42 señala que el código de Landfall hace referencia a varios teléfonos Samsung específicos, incluidos el Galaxy S22, Galaxy S23, Galaxy S24, Galaxy Z Flip 4 y Galaxy Z Fold 4. Una vez activo, Landfall se comunica con un servidor remoto con información básica del dispositivo. Luego, los operadores pueden extraer una gran cantidad de datos, como identificaciones de usuario y de hardware, aplicaciones instaladas, contactos, cualquier archivo almacenado en el dispositivo e historial de navegación. También puede activar la cámara y el micrófono para espiar al usuario.
Eliminar el software espía tampoco es tarea fácil. Debido a su capacidad para manipular las políticas de SELinux, puede profundizar en el software del sistema. También incluye varias herramientas que ayudan a evadir la detección. Según las presentaciones de VirusTotal, la Unidad 42 cree que Landfall estuvo activo en 2024 y principios de 2025 en Irak, Irán, Turquía y Marruecos. La vulnerabilidad puede haber estado presente en el software de Samsung desde Android 13 hasta Android 15, sugiere la compañía.
La Unidad 42 dice que varios esquemas de nombres y respuestas de servidores comparten similitudes con el software espía industrial desarrollado por grandes empresas de ciberinteligencia como NSO Group y Variston. Sin embargo, no pueden vincular directamente Landfall a ningún grupo en particular. Si bien este ataque fue muy dirigido, los detalles ahora están a la vista y otros actores de amenazas ahora podrían emplear métodos similares para acceder a dispositivos sin parches. Cualquiera que tenga un teléfono Samsung compatible debe asegurarse de tener el parche de abril de 2025 o posterior.
