La firma de ciberseguridad Unit 42 ha descubierto una campaña de spyware en dispositivos Samsung Galaxy que explota una vulnerabilidad de día cero para infiltrarse en los teléfonos a través de imágenes enviadas por WhatsApp.
Los investigadores de seguridad advierten que la operación ha estado activa desde mediados de 2024 y ayuda a los atacantes a implementar malware avanzado para Android capaz de realizar una vigilancia completa del dispositivo sin interacción del usuario.
La operación ha sido bautizada por los investigadores de ciberseguridad como LANDFALL, detectada en septiembre después de una investigación que comenzó a sondear muestras de exploits de iOS a mediados de 2025.
El malware LANDFALL ataca a dispositivos Samsung Android
Según el informe de investigación de la Unidad 42 publicado el 7 de noviembre, el malware específico de Android estaba presente dentro de las muestras de iOS ocultas en archivos de imagen Digital Negative (DNG).
Algunos propietarios de teléfonos Samsung Galaxy informaron haber visto nombres al estilo de WhatsApp como "IMG-20240723-WA0000.jpg", que se cargaron en VirusTotal desde lugares como Marruecos, Irán, Irak y Turquía entre julio de 2024 y principios de 2025.
LANDFALL utiliza un tipo de exploit llamado "CVE-2025-21042", una falla en la biblioteca de procesamiento de imágenes de Samsung, libimagecodec.quram.so . CVE-2025-12725 también es un error de escritura fuera de límites en WebGPU, el componente de procesamiento gráfico del navegador Chrome, desarrollado por Google.
La vulnerabilidad se corrigió en abril de 2025 tras informes de explotación activa, pero no antes de que se hubieran producido archivos DNG malformados que contenían un archivo ZIP adjunto en varios dispositivos. La Unidad 42 explicó que engaña a la biblioteca vulnerable para que extraiga trac ejecute bibliotecas de objetos compartidos (.so) que instalaron el spyware en los dispositivos.
El informe de la Unidad 42 indicó que el software espía activa micrófonos para grabar, traca los usuarios mediante GPS y roba sutilmente información como fotos, contactos, registros de llamadas y mensajes. Los modelos Samsung Galaxy afectados incluyen las series S22, S23, S24 y Z, específicamente aquellos con las versiones 13, 14 y 15 de Android.
La falla de día cero también está afectando el análisis de imágenes DNG en Apple iOS , donde los desarrolladores de WhatsApp descubrieron que los atacantes estaban encadenando la vulnerabilidad de Apple con la falla para obligar a los dispositivos a procesar contenido de URL maliciosas.
La segunda parte de LANDFALL, llamada b.so, se conecta a su servidor de comando y control (C2) mediante HTTPS a través de un puerto TCP temporal no estándar. El malware puede enviar señales de ping para comprobar si el servidor está activo y funcionando antes de iniciar el tráfico cifrado. Esto se explica en el apéndice técnico del informe.
Una vez que la conexión HTTPS está activa, b.so transmite una solicitud POST que contiene información detallada sobre el dispositivo infectado y la instancia de spyware, incluido el ID del agente, la ruta del dispositivo y el ID del usuario.
En septiembre, WhatsApp reportó a Samsung una vulnerabilidad relacionada (CVE-2025-21043). La compañía de mensajería advirtió a los usuarios que un mensaje malicioso podría explotar fallas en el sistema operativo para comprometer los dispositivos y los datos que contienen.
“Nuestra investigación indica que es posible que se le haya enviado un mensaje malicioso a través de WhatsApp, combinado con otras vulnerabilidades en el sistema operativo de su dispositivo”, declaró Meta en una actualización de seguridad. “Si bien no sabemos con certeza si su dispositivo ha sido comprometido, queríamos informarle por precaución”
La semana pasada, el periódico The Peninsula informó que la campaña podría estar traccon software espía vinculado a estados en dispositivos móviles de Oriente Medio. Pegasus de NSO Group, Predator de Cytox/Intellexa y FinFisher FinSpy de Gamma se han asociado desde hace tiempo con ataques similares.
Google ofrece actualizaciones para contrarrestar la falla de seguridad de día cero
Según un informe anterior de Google, estos actores fueron responsables de casi la mitad de todas las vulnerabilidades de día cero en sus productos entre 2014 y 2023. El mes pasado, un tribunal federal estadounidense prohibió al grupo israelí NSO realizar ingeniería inversa de WhatsApp para distribuir software espía.
“Parte de lo que empresas como WhatsApp están 'vendiendo' es privacidad informativa, y cualquier acceso no autorizado es una interferencia con esa venta”, dijo la jueza de distrito estadounidense Phyllis Hamilton en su fallo.
Los gigantes tecnológicos lanzaron la versión 142 de Chrome la semana pasada para corregir cinco vulnerabilidades de seguridad críticas, tres de las cuales, según la empresa, tenían una clasificación de "gravedad de alto riesgo". La actualización se lanzó para plataformas de escritorio y dispositivos Android mediante parches publicados en Google Play.
CVE-2025-12727 afecta al motor JavaScript V8 de Chrome, que es responsable de la ejecución del rendimiento, mientras que CVE-2025-12726 afecta al administrador de interfaz de usuario del navegador, Chrome Views.
Los profesionales de ciberseguridad ahora piden a los usuarios de Samsung Galaxy que apliquen de inmediato la actualización de seguridad de abril de 2025 para parchear CVE-2025-21042.
