Investigadores de seguridad han descubierto una campaña de espionaje que explotaba una vulnerabilidad de día cero en dispositivos Samsung Galaxy para instalar software espía LANDFALL. Los ataques se produjeron principalmente en Irak, Irán, Türkiye y Marruecos, utilizando imágenes en formato DNG enviadas a través de WhatsApp. La falla, identificada como CVE-2025-21042, permitía la ejecución remota de código sin interacción del usuario y Samsung la solucionó en abril de 2025.
La campaña, registrada como CL-UNK-1054, comenzó en julio de 2024 y continuó durante meses antes de la solución. Los usuarios de estas regiones enviaron muestras del malware a VirusTotal, indicando objetivos específicos. La Agencia de Infraestructura y Ciberseguridad de EE. UU. añadió la vulnerabilidad a su catálogo de fallos explotados en noviembre de 2025, por lo que será necesario corregirla en todas las agencias federales para diciembre.
Mecanismo de explotación en imágenes DNG
Los archivos maliciosos simulaban fotos comunes de WhatsApp, con nombres como “IMG-20240723-WA0000.jpg”. Estos DNG contenían un ZIP incrustado al final, aprovechando una escritura fuera de límites en la biblioteca libimagecodec.quram.so.
El proceso comenzó con el procesamiento automático de imágenes, extrayendo bibliotecas compartidas para ejecutar el software espía. Otra biblioteca manipuló la política de SELinux, elevando los privilegios y garantizando la persistencia en el sistema.
El método de cero clics eliminó la necesidad de hacer clic, lo que hizo que el ataque fuera indetectable en la mayoría de los casos. Los dispositivos afectados incluyen los modelos Galaxy S22, S23, S24, Z Fold4 y Z Flip4 con Android 13 a 16.
Capacidades del software espía LANDFALL
LANDFALL recopiló datos de manera integral y accedió a múltiples fuentes en el dispositivo comprometido. Entre las funciones destacaron las siguientes:
- Grabación de audio mediante micrófono en tiempo real.
- Seguimiento preciso de la ubicación geográfica.
- Extracción de fotos, contactos e historial de llamadas.
- Lectura de SMS y archivos almacenados.
Después de la instalación, el malware se conectó a un servidor de comando y control a través de HTTPS. Esta conexión permitió bucles de balizamiento y la descarga de cargas útiles adicionales, ampliando sus operaciones.
La arquitectura modular facilitó las actualizaciones remotas, adaptando el software espía a las defensas emergentes. Los investigadores observaron que el componente inicial se refería a sí mismo como “Bridge Head”, un término común en los cargadores de herramientas de empresas privadas de ciberataques.
Patrones similares a operaciones conocidas
La infraestructura de control de LANDFALL se superponía con la del grupo Stealth Falcon, también llamado FruityArmor. Este actor, vinculado al espionaje en Oriente Medio desde 2012, utiliza tácticas similares en campañas contra ataques terroristas.ivistas y periodistas.
Los registros de dominio y los estándares C2 coincidieron parcialmente, pero sin evidencia directa hasta octubre de 2025. La similitud sugiere un posible uso de herramientas comerciales por parte de actores estatales o privados.
La campaña evitó la detección durante meses, con muestras públicas en VirusTotal desde julio de 2024. Esto expone la dificultad para identificar exploits en repositorios abiertos.
Vulnerabilidades recurrentes en bibliotecas de imágenes
Los fallos en los procesadores de imágenes DNG emergen como un vector recurrente en los ataques móviles. En septiembre de 2025, Samsung parchó CVE-2025-21043 en la misma biblioteca, explotado en estado salvaje, pero sin vínculo directo con LANDFALL.
WhatsApp informó en un período similar una cadena de vulnerabilidades en iOS y macOS, que afectan a menos de 200 usuarios. Estos casos indican una ola de exploits sin clic en aplicaciones de mensajería.
La tendencia refleja el enfoque de los atacantes en bibliotecas compartidas, como libimagecodec.quram.so, para lograr la ejecución remota. Las actualizaciones periódicas mitigan los riesgos, pero los retrasos en los parches prolongan la exposición.
Medidas de protección para los usuarios
Los propietarios de Galaxy deben buscar actualizaciones de seguridad mensualmente. El parche de abril de 2025 eliminó CVE-2025-21042, pero los dispositivos obsoletos siguen siendo vulnerables.
Desactive las descargas automáticas de medios en WhatsApp para reducir los riesgos. Herramientas como Google Play Protect analizan periódicamente aplicaciones y archivosnte.
Las empresas con flotas de dispositivos Samsung pueden utilizar MDM para forzar parches. Supervise los registros para detectar errores en el procesamiento de imágenes y detectar posibles infecciones.
La campaña destaca la importancia de los parches rápidos en los ecosistemas de Android. Con más de 3 mil millones de usuarios en todo el mundo, los retrasos afectan escalas masivas de exposición.
