Une faille zero-day dans les smartphones Samsung a récemment été mise en lumière, exploitée par un logiciel espion sophistiqué. Découvert par des chercheurs en cybersécurité, ce malware a utilisé des images envoyées sur WhatsApp pour infiltrer les appareils des utilisateurs. Voici ce que vous devez savoir sur cette menace désormais corrigée.
Les 3 infos à ne pas manquer
- LANDFALL a exploité une faille zero-day dans les smartphones Samsung via des images WhatsApp.
- La vulnérabilité permettait une exécution de code à distance, donnant un accès complet aux appareils.
- Samsung a corrigé la faille en avril 2025, limitant ainsi l’impact du logiciel espion.
La découverte de LANDFALL par l’unité 42
Les chercheurs de l’unité 42 de Palo Alto Networks ont identifié une campagne de logiciel espion ciblant les utilisateurs de Samsung au Moyen-Orient. Cette attaque exploitait une faille dans la bibliothèque de traitement d’images de Samsung, permettant aux attaquants d’avoir un accès complet aux smartphones.
La vulnérabilité, répertoriée sous le code CVE-2025-21042, a permis à cette menace de se propager discrètement pendant plusieurs mois avant d’être rectifiée par Samsung.
Mécanisme d’attaque par fichiers .DNG
L’attaque LANDFALL commençait par l’envoi d’un fichier .DNG modifié via WhatsApp. Ce fichier contenait une archive ZIP qui, une fois ouverte, exécutait un script. Ce dernier téléchargeait ensuite des composants supplémentaires sur l’appareil cible.
Parmi ces composants, un manipulateur SELinux ajustait les paramètres de sécurité pour garantir un accès prolongé du logiciel espion au système.
Les capacités de LANDFALL
LANDFALL est doté de fonctionnalités avancées lui permettant de collecter des informations détaillées sur l’appareil. Il peut enregistrer les conversations, accéder aux photos, SMS, contacts et à l’historique de navigation. De plus, il est capable de suivre les emplacements des utilisateurs.
Ce logiciel espion a également été conçu pour éviter la détection, ce qui le rend particulièrement insidieux. Sa persistance dans le système lui permet de rester actif même après des redémarrages.
Origines et similitudes avec d’autres logiciels espions
Bien que l’infrastructure de LANDFALL présente des similitudes avec d’autres opérations telles que celles menées par Stealth Falcon, les chercheurs n’ont pas réussi à établir un lien direct avec des entreprises de logiciels espions connues comme NSO Group ou Cytrox.
Ces observations indiquent une possible origine des Émirats arabes unis, mais les responsables exacts de cette campagne restent non identifiés.
Contexte de Samsung et de ses vulnérabilités de sécurité
Samsung, l’un des leaders mondiaux du marché des smartphones, a été confronté à plusieurs défis en matière de sécurité au fil des ans. Les failles zero-day, comme celle exploitée par LANDFALL, représentent une menace sérieuse pour les utilisateurs et mettent en lumière l’importance des mises à jour régulières pour protéger les appareils.
Pour faire face à ces menaces, Samsung s’engage à améliorer constamment la sécurité de ses produits et à travailler en étroite collaboration avec les chercheurs en cybersécurité pour identifier et corriger rapidement les vulnérabilités.
