LANDFALL: dettagli sullo spyware per Samsung Galaxy
Topic
Approfondimenti
Trending
tutti

LANDFALL: dettagli sullo spyware per Samsung Galaxy

LANDFALL è uno spyware utilizzato per colpire gli utenti con dispositivi Samsung Galaxy attraverso l'invio di immagini DNG infette con WhatsApp.
LANDFALL: dettagli sullo spyware per Samsung Galaxy
Sicurezza
LANDFALL è uno spyware utilizzato per colpire gli utenti con dispositivi Samsung Galaxy attraverso l'invio di immagini DNG infette con WhatsApp.
Google AI Studio

Gli esperti di Unity 42 (Palo Alto Networks) hanno scoperto un nuovo spyware commerciale, denominato LANDFALL, che prende di mira gli utenti con dispositivi Samsung Galaxy. Sfruttava la vulnerabilità (corretta ad aprile) in una libreria di elaborazione delle immagini di Android. Gli attacchi, effettuati attraverso WhatsApp, non prevedevano nessuna interazione da parte dell’utente (zero-click).

Descrizione e funzionalità di LANDFALL

All’inizio di settembre, Apple ha inviato una notifica agli utenti per segnalare un attacco spyware in corso che sfruttava in tandem le vulnerabilità CVE-2025-43300 di iOS e CVE-2025-45177 di WhatsApp. Gli esperti della Unity 42 hanno successivamente individuato simili attacchi contro i dispositivi di Samsung.

Analizzando gli exploit, i ricercatori hanno individuato immagini DNG malformate inviate tramite WhatsApp. DNG (Digital Negative) è un formato RAW basato sul formato TIFF. Nel file DNG era nascosto un archivio ZIP. Al suo interno era presente una libreria shared object che eseguiva LANDFALL, sfruttando la vulnerabilità CVE-2025-21042 della libreria usata da Samsung per la visualizzazione delle immagini DNG.

Lo spyware è composto da due componenti: una backdoor e un manipolatore dei permessi. All’avvio effettua innanzitutto la raccolta di informazioni sul dispositivo (IMEI, IMSI, numero seriale della SIM, versione di Android, account, configurazione di rete, elenco delle app installate).

Successivamente inizia l’esfiltrazione dei dati: contatti, cronologia delle chiamate, messaggi, SMS, cronologia di navigazione, immagini e file. Può inoltre registrare l’audio tramite i microfoni del dispositivo e le telefonate. La backdoor comunica con i server C2 (command and control) tramite HTTPS.

Una simile vulnerabilità (CVE-2025-21043) nella stessa libreria è stata scoperta dai ricercatori di WhatsApp e segnalata a Samsung. La patch è stata rilasciata a settembre. Gli esperti di Unity 42 ipotizzano che gli exploit per iOS e WhatsApp di agosto potrebbero avere gli stessi autori, ma non ci sono conferme.

L’infrastruttura C2 e i domini sembrano gli stessi utilizzati in altri attacchi dal gruppo Stealth Falcon. L’unica certezza è che si tratta di uno spyware commerciale, quindi sentiremo ancora parlare di LANDFALL nei prossimi mesi.

Fonte: Unit 42

Pubblicato il 7 nov 2025

Link copiato negli appunti

Ti potrebbe interessare

VPN illimitata ad appena 1,59 euro al mese: è l'offerta da scegliere oggi

VPN illimitata ad appena 1,59 euro al mese: è l'offerta da scegliere oggi
Una VPN quasi gratis? Con quest'offerta bastano 1,11 euro al mese

Una VPN quasi gratis? Con quest'offerta bastano 1,11 euro al mese
Bug permette di aggirare la protezione di Valorant

Bug permette di aggirare la protezione di Valorant
Vacanze di Natale all'estero? Questa è la VPN giusta da attivare oggi

Vacanze di Natale all'estero? Questa è la VPN giusta da attivare oggi
VPN illimitata ad appena 1,59 euro al mese: è l'offerta da scegliere oggi

VPN illimitata ad appena 1,59 euro al mese: è l'offerta da scegliere oggi
Una VPN quasi gratis? Con quest'offerta bastano 1,11 euro al mese

Una VPN quasi gratis? Con quest'offerta bastano 1,11 euro al mese
Bug permette di aggirare la protezione di Valorant

Bug permette di aggirare la protezione di Valorant
Vacanze di Natale all'estero? Questa è la VPN giusta da attivare oggi

Vacanze di Natale all'estero? Questa è la VPN giusta da attivare oggi
Luca Colantuoni
Pubblicato il
7 nov 2025
Link copiato negli appunti