Un grave allarme sicurezza riguarda diversi modelli di Samsung Galaxy, dopo la scoperta di una nuova famiglia di spyware Android capace di prendere il controllo completo dei dispositivi. Il malware, identificato dai ricercatori di Unit 42 di Palo Alto Networks con il nome LANDFALL, si distingue per la sua natura commerciale e per le tecniche avanzate di infiltrazione, tipiche degli strumenti sviluppati da attori del settore privato specializzati in operazioni di spionaggio digitale.
Secondo l’analisi, l’attacco ha preso di mira modelli di fascia alta come Galaxy S22, S23, S24 e alcuni dispositivi pieghevoli, concentrandosi soprattutto su utenti localizzati in Medio Oriente. LANDFALL non è frutto di hacker comuni o di cybercriminali isolati, ma di un’organizzazione strutturata con infrastrutture e obiettivi precisi, simile a quelle impiegate nei contesti di spyware governativi o aziendali.
Una vulnerabilità zero-day e un attacco via immagine
Il vettore d’attacco sfrutta una vulnerabilità zero-day, registrata come CVE-2025-21042, presente nella libreria di elaborazione delle immagini dei dispositivi Samsung. Questa falla ha consentito agli aggressori di compromettere gli smartphone diversi mesi prima del rilascio della patch correttiva, avvenuta solo nell’aprile 2025.
Il malware si diffonde tramite WhatsApp, attraverso un file immagine DNG corrotto, una tecnica sempre più diffusa negli attacchi mirati ai dispositivi mobili. Si ipotizza che LANDFALL abbia utilizzato una modalità di distribuzione zero-clic, ovvero senza richiedere alcuna azione da parte dell’utente. Questo significa che la semplice ricezione del file poteva già bastare per compromettere il dispositivo, rendendo l’attacco quasi impossibile da rilevare.
Controllo totale e obiettivi mirati
Una volta installato, lo spyware consente agli aggressori di ottenere il pieno controllo dello smartphone: registrare l’audio dal microfono, tracciare la posizione GPS, accedere a foto, contatti e cronologia delle chiamate, oltre a trasmettere i dati a server remoti controllati dai responsabili dell’attacco.
Le prove raccolte mostrano che la campagna era altamente mirata, con intrusioni concentrate in Paesi come Iraq, Iran, Turchia e Marocco. L’obiettivo principale sembra essere stato il monitoraggio di individui o gruppi specifici piuttosto che una diffusione di massa.
