Une importante faille de sécurité a été activement exploitée sur les smartphones Samsung Galaxy pour propager un puissant spyware Android nommé LANDFALL, dans le cadre d’une campagne ciblant plusieurs pays du Moyen-Orient. Cette vulnérabilité, désormais corrigée, a permis à des cybercriminels de déployer un logiciel espion capable de surveiller à distance les téléphones Galaxy S22, S23, S24 ainsi que les Z Fold 4 et Z Flip 4. Une enquête approfondie menée par l’équipe de recherche de Palo Alto Networks Unit 42 révèle les rouages de cette campagne ayant utilisé des images piégées envoyées via WhatsApp. Si vous cherchez à comprendre comment ces attaques fonctionnent ou à apprendre à hacker dans un but légal et pédagogique, consultez notre livre pour hacker.
Une faille critique dans les Samsung Galaxy exploitée en zero-day
Une vulnérabilité notée 8.8 sur l’échelle CVSS
La faille identifiée sous le nom CVE-2025-21042 concerne une erreur d’écriture hors limites dans la bibliothèque libimagecodec.quram.so. Ce dysfonctionnement technique permettait à un attaquant distant d’exécuter du code malveillant sur le terminal visé. Samsung a publié un correctif en avril 2025, mais la faille avait déjà été exploitée avant cette correction.
Des attaques ciblées via WhatsApp dans plusieurs pays
Les victimes identifiées se trouvent principalement en Irak, Iran, Turquie et Maroc, selon des données de soumission sur VirusTotal. Les cyberattaques semblent avoir été déclenchées par des fichiers images au format DNG (Digital Negative) envoyés via l’application WhatsApp. Ces fichiers dissimulaient une archive ZIP contenant les composants du logiciel espion LANDFALL.
Fonctionnement du spyware LANDFALL et capacités avancées
Un spyware modulaire et furtif
Une fois déployé, LANDFALL agit comme une plateforme d’espionnage mobile complète. Il permet de collecter des informations sensibles : enregistrements audio via le microphone, localisation, photos, contenus SMS, journaux d’appels et fichiers locaux. Il modifie également la politique SELinux du système Android pour obtenir des privilèges élevés et assurer sa persistance sur le téléphone cible.
Communication avec un serveur distant
Le malware établit une connexion persistante avec un serveur de commande (C2) via HTTPS pour télécharger d’autres modules malveillants. Ces composants additionnels, bien que non récupérés par les chercheurs, visent à étendre encore davantage les capacités de surveillance mobile du spyware.
Comparaison avec d’autres attaques et campagnes en cours
Ressemblances avec les attaques de Stealth Falcon
Bien que l’auteur de la campagne LANDFALL ne soit pas encore connu, les experts de Unit 42 remarquent des similitudes entre l’infrastructure C2 et les modes d’enregistrement de domaine de LANDFALL avec ceux du groupe Stealth Falcon (alias FruityArmor). Néanmoins, aucune connexion directe n’a encore été établie entre les deux.
Un contexte de cyberattaques plus large
Ces attaques s’inscrivent dans une tendance plus vaste : l’exploitation de fichiers DNG vulnérables pour infecter aussi bien des appareils Android que iOS. À la même période, WhatsApp a corrigé une faille sur sa plateforme iOS (CVE-2025-55177) qui, combinée à une vulnérabilité d’Apple (CVE-2025-43300), a permis de viser moins de 200 utilisateurs de façon hautement ciblée.
Des attaques encore récentes malgré les correctifs
Dernières traces de LANDFALL en septembre 2025
Les échantillons les plus récents de LANDFALL datent de février 2025, mais des campagnes similaires ont été constatées jusqu’en septembre, ce qui suggère une poursuite des activités par les opérateurs. Certains serveurs liés au spyware demeurent encore actifs, d’après les analystes de Unit 42.
Un savoir-faire cyber offensif mis à profit
La campagne LANDFALL démontre une profonde compréhension de l’écosystème Android par ses auteurs. Pour mieux comprendre ce type de méthodes et renforcer ses propres défenses, il est recommandé de se former aux techniques de hacking éthique. Notre livre pour apprendre à hacker permet de décrypter les mécaniques d’exploitation utilisées dans des cas réels comme cette attaque.
La capacité de CyberCare à identifier, analyser et prévenir les cybermenaces telles que LANDFALL permet à nos clients de bénéficier d’une protection proactive adaptée aux nouvelles vagues d’attaques mobiles.
