L'azienda di sicurezza informatica Unit 42 ha scoperto una campagna spyware sui dispositivi Samsung Galaxy che sfrutta una vulnerabilità zero-day per infiltrarsi nei telefoni tramite immagini inviate tramite WhatsApp.
Gli esperti di sicurezza avvertono che l'operazione è attiva dalla metà del 2024 e aiuta gli aggressori a distribuire malware Android avanzati in grado di sorvegliare completamente il dispositivo senza l'interazione dell'utente.
L'operazione è stata denominata dai ricercatori di sicurezza informatica LANDFALL ed è stata individuata a settembre, dopo un'indagine che ha iniziato a esaminare campioni di exploit iOS a metà del 2025.
Il malware LANDFALL colpisce i dispositivi Android Samsung
Secondo il rapporto investigativo di Unit 42 pubblicato il 7 novembre, il malware specifico per Android era presente nei campioni iOS nascosto nei file di immagine Digital Negative (DNG).
Alcuni possessori di telefoni Samsung Galaxy hanno segnalato di aver visto nomi in stile WhatsApp come "IMG-20240723-WA0000.jpg", caricati su VirusTotal da località quali Marocco, Iran, Iraq e Turchia tra luglio 2024 e inizio 2025.
LANDFALL sfrutta un tipo di exploit denominato "CVE-2025-21042", una falla nella libreria di elaborazione delle immagini di Samsung libimagecodec.quram.so . CVE-2025-12725 è anche un errore di scrittura fuori dai limiti in WebGPU, il componente di elaborazione grafica del browser Chrome di Google.
La vulnerabilità è stata corretta nell'aprile 2025 in seguito a segnalazioni di sfruttamento attivo, ma non prima che avesse generato file DNG malformati contenenti un archivio ZIP allegato su diversi dispositivi. Unit 42 ha spiegato che la vulnerabilità inganna la libreria vulnerabile inducendola a estrarre trac eseguire librerie di oggetti condivisi (.so) che installavano lo spyware sui dispositivi.
Il rapporto di Unit 42 afferma che lo spyware attiva i microfoni per la registrazione, tracgli utenti tramite GPS e ruba in modo subdolo informazioni come foto, contatti, registri delle chiamate e messaggi. I modelli Samsung Galaxy interessati includono le serie S22, S23, S24 e Z, in particolare quelli con versioni Android 13, 14 e 15.
La falla zero-day sta influenzando anche l'analisi delle immagini DNG su Apple iOS , dove gli sviluppatori di WhatsApp hanno scoperto che gli aggressori stavano concatenando la vulnerabilità di Apple con la falla per forzare i dispositivi a elaborare contenuti da URL dannosi.
La seconda parte di LANDFALL, denominata b.so, si connette al suo server di comando e controllo (C2) tramite HTTPS su una porta TCP temporanea non standard. Il malware può inviare segnali ping per verificare se il server è attivo e funzionante prima di avviare il traffico crittografato. Questo è spiegato nell'appendice tecnica del rapporto.
Una volta attiva la connessione HTTPS, b.so trasmette una richiesta POST contenente informazioni dettagliate sul dispositivo infetto e sull'istanza dello spyware, tra cui l'ID agente, il percorso del dispositivo e l'ID utente.
A settembre, WhatsApp ha segnalato a Samsung una vulnerabilità correlata (CVE-2025-21043). L'azienda di messaggistica ha informato gli utenti che un messaggio dannoso avrebbe potuto sfruttare falle nel sistema operativo per compromettere i dispositivi e i dati in essi contenuti.
"La nostra indagine indica che un messaggio dannoso potrebbe esserti stato inviato tramite WhatsApp e combinato con altre vulnerabilità nel sistema operativo del tuo dispositivo", ha affermato Meta in un aggiornamento di sicurezza. "Sebbene non possiamo affermare con certezza che il tuo dispositivo sia stato compromesso, volevamo informarti per eccesso di precauzione"
La scorsa settimana, la testata giornalistica The Peninsula ha riferito che la campagna potrebbe essere traca uno spyware collegato a stati su dispositivi mobili in Medio Oriente. Pegasus di NSO Group, Predator di Cytox/Intellexa e FinFisher FinSpy di Gamma sono da tempo associati ad attacchi simili.
Google fornisce aggiornamenti per contrastare la falla di sicurezza zero-day
Secondo un precedente rapporto di Google, questi attori sono stati responsabili di quasi la metà di tutte le vulnerabilità zero-day nei suoi prodotti tra il 2014 e il 2023. Il mese scorso, un tribunale federale degli Stati Uniti ha impedito al gruppo israeliano NSO di effettuare il reverse engineering di WhatsApp per distribuire spyware.
"Parte di ciò che aziende come WhatsApp stanno 'vendendo' è la privacy delle informazioni, e qualsiasi accesso non autorizzato costituisce un'interferenza con tale vendita", ha affermato il giudice distrettuale statunitense Phyllis Hamilton nella sua sentenza.
I giganti della tecnologia hanno rilasciato la versione 142 di Chrome la scorsa settimana per contrastare cinque vulnerabilità di sicurezza critiche, tre delle quali, secondo l'azienda, avevano un livello di "gravità ad alto rischio". L'aggiornamento è stato reso disponibile su piattaforme desktop e dispositivi Android tramite patch distribuite tramite Google Play.
CVE-2025-12727 interessa il motore JavaScript V8 di Chrome, responsabile dell'esecuzione delle prestazioni, mentre CVE-2025-12726 interessa il gestore dell'interfaccia utente del browser, Chrome Views.
Gli esperti di sicurezza informatica chiedono ora agli utenti di Samsung Galaxy di applicare immediatamente l'aggiornamento di sicurezza di aprile 2025 per correggere la vulnerabilità CVE-2025-21042.
