La société de cybersécurité Unit 42 a découvert une campagne de logiciels espions sur les appareils Samsung Galaxy exploitant une vulnérabilité zero-day pour infiltrer les téléphones via des images envoyées par WhatsApp.
Des chercheurs en sécurité avertissent que cette opération est active depuis mi-2024 et qu'elle aide les attaquants à déployer des logiciels malveillants Android avancés capables de surveiller intégralement l'appareil sans interaction de l'utilisateur.
L'opération a été baptisée LANDFALL par les chercheurs en cybersécurité ; elle a été détectée en septembre après une enquête qui a commencé à analyser des échantillons d'exploits iOS au milieu de l'année 2025.
Le logiciel malveillant LANDFALL cible les appareils Android Samsung
Selon le rapport d'enquête de l'Unité 42 publié le 7 novembre, le logiciel malveillant spécifique à Android était présent dans les échantillons iOS cachés dans des fichiers d'image Digital Negative (DNG).
Certains propriétaires de téléphones Samsung Galaxy ont signalé avoir vu des noms de style WhatsApp comme « IMG-20240723-WA0000.jpg », qui ont été téléchargés sur VirusTotal depuis des endroits comme le Maroc, l'Iran, l'Irak et la Turquie entre juillet 2024 et début 2025.
LANDFALL exploite une faille appelée « CVE-2025-21042 », une vulnérabilité de la bibliothèque de traitement d'images libimagecodec.quram.so . CVE-2025-12725 correspond également à une erreur d'écriture hors limites dans WebGPU, le composant de traitement graphique du navigateur Chrome de Google.
La vulnérabilité a été corrigée en avril 2025 suite à des signalements d'exploitation active, mais pas avant d'avoir corrompu des fichiers DNG contenant une archive ZIP ajoutée sur plusieurs appareils. L'unité 42 a expliqué que le logiciel malveillant trompe la bibliothèque vulnérable afin qu'elle extraie trac exécute des bibliothèques d'objets partagés (.so) qui installent ensuite le logiciel espion sur les appareils.
Selon le rapport de l'unité 42, le logiciel espion active les microphones pour enregistrer les conversations, tracles utilisateurs par GPS et dérobe discrètement des informations telles que des photos, des contacts, l'historique des appels et les messages. Les modèles Samsung Galaxy concernés sont les séries S22, S23, S24 et Z, plus précisément ceux fonctionnant sous Android 13, 14 et 15.
Cette faille zero-day affecte également l'analyse des images DNG sur Apple iOS , où les développeurs de WhatsApp ont découvert que des attaquants combinaient la vulnérabilité d'Apple avec cette faille pour forcer les appareils à traiter du contenu provenant d'URL malveillantes.
La seconde partie de LANDFALL, appelée b.so, se connecte à son serveur de commande et de contrôle (C2) via HTTPS sur un port TCP temporaire non standard. Le logiciel malveillant peut envoyer des requêtes ping pour vérifier le bon fonctionnement du serveur avant d'établir un trafic chiffré. Ce point est détaillé dans l'annexe technique du rapport.
Une fois la connexion HTTPS active, b.so transmet une requête POST contenant des informations détaillées sur l'appareil infecté et l'instance du logiciel espion, notamment l'identifiant de l'agent, le chemin d'accès à l'appareil et l'identifiant de l'utilisateur.
En septembre, WhatsApp a signalé une vulnérabilité similaire (CVE-2025-21043) à Samsung. L'entreprise de messagerie a averti ses utilisateurs qu'un message malveillant pouvait exploiter des failles du système d'exploitation pour compromettre les appareils et les données qu'ils contiennent.
« Notre enquête indique qu'un message malveillant a pu vous être envoyé via WhatsApp et exploiter d'autres failles de sécurité du système d'exploitation de votre appareil », a déclaré Meta dans une mise à jour de sécurité. « Bien que nous ne puissions pas affirmer avec certitude que votre appareil a été compromis, nous tenions à vous en informer par mesure de précaution. »
La semaine dernière, le journal The Peninsula a révélé que cette campagne pourrait être tracà des logiciels espions étatiques installés sur des appareils mobiles au Moyen-Orient. Les logiciels Pegasus (NSO Group), Predator (Cytox/Intellexa) et FinFisher FinSpy (Gamma) sont depuis longtemps associés à des attaques similaires.
Google publie des mises à jour pour corriger une faille de sécurité zero-day
D'après un précédent rapport de Google, ces acteurs étaient responsables de près de la moitié des vulnérabilités zero-day de ses produits entre 2014 et 2023. Le mois dernier, un tribunal fédéral américain a interdit au groupe israélien NSO de procéder à une ingénierie inverse de WhatsApp pour diffuser des logiciels espions.
« Une partie de ce que des entreprises comme WhatsApp "vendent", c'est la confidentialité des informations, et tout accès non autorisé constitue une atteinte à cette vente », a déclaré la juge de district américaine Phyllis Hamilton dans sa décision.
La semaine dernière, le géant technologique a déployé Chrome version 142 afin de corriger cinq failles de sécurité critiques, dont trois étaient qualifiées de « très critiques ». La mise à jour est disponible sur les ordinateurs et les appareils Android via des correctifs distribués sur Google Play.
La vulnérabilité CVE-2025-12727 affecte le moteur JavaScript V8 de Chrome, responsable de l'exécution des performances, tandis que la vulnérabilité CVE-2025-12726 affecte le gestionnaire d'interface utilisateur du navigateur Chrome Views.
Les professionnels de la cybersécurité demandent désormais aux utilisateurs de Samsung Galaxy d'appliquer immédiatement la mise à jour de sécurité d'avril 2025 pour corriger la vulnérabilité CVE-2025-21042.
