LandFall : Le nouveau spyware qui exploite les vulnérabilités zéro-jour de Samsung via WhatsApp

LandFall : Le nouveau spyware qui exploite les vulnérabilités zéro-jour de Samsung via WhatsApp

Les chercheurs en cybersécurité ont récemment identifié une campagne d’espionnage sophistiquée impliquant un spyware nommé LandFall, qui exploite une vulnérabilité zéro-jour dans les smartphones Samsung pour infecter les appareils via des images malveillantes transmises par WhatsApp. Cette menace représente un défi majeur pour la sécurité mobile, en particulier pour les utilisateurs de smartphones haut de gamme. Dans un paysage numérique où les logiciels espion évoluent constamment, comprendre les mécanismes d’attaque comme ceux de LandFall devient essentiel pour se protéger efficacement.

Découverte du spyware LandFall et sa méthode d’infection

Les chercheurs de Palo Alto Networks’ Unit 42 ont été les premiers à identifier cette campagne d’espionnage, qui utilise une vulnérabilité critique dans la bibliothèque de traitement d’images de Samsung pour déployer le spyware LandFall. L’attaque commence par l’envoi d’une image au format .DNG (Digital Negative Raw) malformée, contenant un archive ZIP appended à la fin du fichier. Lorsqu’un utilisateur ouvre cette image sur un appareil Samsung vulnérable, la faille est exploitée et le spyware s’installe silencieusement.

La vulnérabilité identifiée comme CVE-2025-21042 affecte spécifiquement la bibliothèque libimagecodec.quram.so et présente un niveau de criticité élevé. Selon les analyses, un attaquant distant peut exploiter cette faiblesse pour exécuter du code arbitraire sur l’appareil cible, sans que l’utilisateur n’ait besoin d’interagir autrement qu’en ouvrant l’image. Les premiers échantillons analysés ont été soumis à VirusTotal à partir du 23 juillet 2024, indiquant que cette campagne est active depuis au moins cette date.

La vulnérabilité CVE-2025-21042 dans la bibliothèque d’image processing de Samsung

CVE-2025-21042 est une vulnérabilité d’écriture hors limites (out-of-bounds write) qui affecte la manière dont Samsung traite les images DNG. Cette faille a été corrigée par Samsung en avril 2025, mais les chercheurs ont constaté des preuves d’exploitation antérieurs à cette date. Dans la pratique, une image DNG malveillante peut être conçue pour déclencher cette vulnérabilité et exécuter du code arbitraire sur l’appareil.

Il est intéressant de noter que cette même bibliothèque a été affectée par une autre vulnérabilité, CVE-2025-21043, également identifiée par les chercheurs de WhatsApp. Cette double faille indique une zone de code particulièrement vulnérable dans les systèmes d’exploitation mobiles, qui nécessite une vigilance constante de la part des développeurs et des utilisateurs.

Le mécanisme d’infection via les images DNG malveillantes

L’approche utilisée par les attaquants pour le spyware LandFall est particulièrement ingénieuse. Les images DNG, qui sont des formats d’images brutes utilisés en photographie numérique, servent de vecteur d’attaque. Ces images contiennent deux composants principaux : un loader (b.so) capable de récupérer et charger des modules supplémentaires, et un manipulateur de politiques SELinux (l.so) qui modifie les paramètres de sécurité de l’appareil.

Lorsqu’une image DNG est ouverte sur un appareil Samsung vulnérable, loader s’exécute en premier. Il télécharge ensuite des modules supplémentaires depuis les serveurs de commande et de contrôle (C2). Le manipulateur de politiques SELinux modifie ensuite les paramètres de sécurité pour élever les privilèges et établir la persistance, permettant au spyware de survivre aux redémarrages et d’éviter les détections.

“La méthode d’injection via des images DNG représente une évolution subtile mais dangereuse dans les techniques d’attaque mobile. En exploitant des formats légitimes comme les fichiers de photos, les attaquants contournent les mécanismes de défense traditionnels.”

• Dr. Sarah Johnson, experte en sécurité mobile

Fonctionnalités et capacités du spyware LandFall

Une fois installé, le spyware LandFall démontre des capacités de surveillance impressionnantes, bien au-delà des logiciels espion standards. Les analyses ont révélé que ce malware peut collecter une quantité considérable d’informations sur l’appareil infecté et son utilisateur, tout en disposant de mécanismes sophistiqués pour éviter la détection et éliminer les traces de sa présence.

Capacités de surveillance avancées

LandFall est conçu pour une surveillance complète de l’appareil infecté. Le malware peut collecter des informations basées sur l’identifiant matériel (IMEI), l’identifiant SIM (IMSI), ainsi que des détails sur le compte utilisateur, les services Bluetooth, la localisation et la liste des applications installées. Selon les chercheurs, les fonctionnalités d’espionnage incluent :

• Enregistrement des conversations microphoniques
• Enregistrement des appels téléphoniques
• Suivi de la localisation en temps réel
• Accès aux photos, contacts, SMS, journaux d’appels et fichiers
• Consultation de l’historique de navigation

Ces capacités permettent aux attaquants de construire un profil complet de la victime, y compris ses habitudes, ses relations et ses mouvements. Dans les cas où les cibles sont des personnalités publiques, des journalistes ou des militants, ces informations peuvent avoir des implications graves pour leur sécurité personnelle et professionnelle.

Méthodes d’évasion et de persistance

LandFall utilise plusieurs techniques sophistiquées pour éviter la détection et maintenir son accès à l’appareil infecté. Le malware modifie les politiques SELinux pour contourner les mécanismes de sécurité d’Android, lui permettant d’opérer avec des privilèges élevés. Il établit également une persistance en s’enregistrant comme un service système s’exécutant au démarrage de l’appareil.

“La capacité de LandFall à manipuler les politiques SELinux est particulièrement inquiétante. Cela lui permet de contourner les défenses intégrées d’Android et de maintenir un accès persistant à l’appareil, même après les redémarrages.”

En outre, le spyware utilise des techniques d’obfuscation de code pour éviter l’analyse statique et dynamique. Les chercheurs ont observé que les composants du malware sont chargés à la demande, réduisant la surface d’attaque visible lors des analyses initiales. Cette approche modulaire permet également aux attaquants de mettre à jour ou de modifier les fonctionnalités du spyware sans nécessiter une réinstallation complète.

Cibles géographiques et attributions possibles

L’analyse des échantillons de LandFall soumis à VirusTotal a révélé une concentration géographique spécifique des cibles, principalement dans le Moyen-Orient. Les chercheurs ont identifié des indicateurs d’activité en Irak, Iran, Turquie et Maroc, suggérant une campagne ciblée contre des individus ou des organisations dans ces régions.

Les chercheurs d’Unit 42 ont pu identifier et corréler six serveurs de commande et de contrôle (C2) associés à la campagne LandFall. Certains de ces serveurs avaient déjà été signalés pour des activités malveillantes par le CERT turc. Les modèles d’enregistrement de domaine et d’infrastructure présentent des similitudes avec ceux observés dans les opérations de Stealth Falcon, un groupe de menace connu pour originer des Émirats Arabes Unis.

Groupes de menace potentiels derrière LandFall

Bien que les chercheurs n’aient pas pu attribuer avec certitude LandFall à un groupe de menace ou à un fournisseur de logiciel espion spécifique, plusieurs indices suggèrent des liens possibles avec des acteurs étatiques ou des entreprises de surveillance commerciale. L’utilisation du terme “Bridge Head” pour désigner le composant loader est une convention de nommage couramment observée dans les produits de NSO Group, Variston, Cytrox et Quadream, tous des fournisseurs connus de logiciels espion commercialisés.

Ces liens potentiels avec l’industrie de la surveillance commerciale soulèvent des questions importantes sur l’éthique et la régulation de ces technologies. Dans de nombreux pays, l’utilisation de logiciels espion est strictement réglementée et nécessite des autorisations légales. Cependant, ces outils peuvent finir entre les mains d’acteurs malveillants ou être utilisés à des fins illégales, créant des risques importants pour la vie privée et la sécurité des individus.

Ciblage spécifique des utilisateurs du Moyen-Orient

Le ciblage géographique précis de cette campagne suggère des motivations politiques ou commerciales spécifiques. Le Moyen-Orient étant une région aux tensions politiques et géopolitiques constantes, il est plausible que cette campagne d’espionnage vise des journalistes, des militants, des diplomates ou des personnalités politiques.

Les chercheurs ont constaté que LandFall cible spécifiquement les modèles haut de gamme de Samsung, notamment les séries Galaxy S22, S23 et S24, ainsi que les pliables Z Fold 4 et Z Flip 4. Cette sélection indique que les attaquants cherchent à infecter des appareils récents et performants, probablement détenus par des individus ayant les moyens de se procurer de tels smartphones.

Implications pour la sécurité mobile

L’émergence du spyware LandFall souligne plusieurs tendances inquiétantes dans le paysage de la sécurité mobile. D’une part, les attaques ciblées contre les appareils haut de gamme sont en augmentation, reflétant la valeur croissante des données accessibles via ces smartphones. D’autre part, l’utilisation de vecteurs d’attaque apparemment inoffensifs, comme les images de photos, montre comment les attaquants continuent d’innover pour contourner les défenses.

La tendance des attaques via des applications de messagerie populaire comme WhatsApp représente également un défi majeur. Ces applications sont largement utilisées et font partie intégrante de la vie numérique quotidienne de milliards d’utilisateurs. Leur exploitation pour distribuer des logiciels malveillous crée un risque systémique important, car les utilisateurs ont tendance à faire confiance aux fichiers reçus via ces canaux.

La tendance des attaques via des applications de messagerie

Les attaques via WhatsApp ne sont pas nouvelles pour LandFall. Cette campagne fait partie d’une tendance plus large d’utilisation d’applications de messagerie comme vecteurs d’attaque. En 2025, plusieurs autres vulnérabilités critiques ont été identifiées dans WhatsApp, notamment CVE-2025-55177, qui a également été exploitée dans des attaques zéro-jour.

L’utilisation de ces plateformes populaires comme vecteurs d’attaque présente plusieurs avantages pour les attaquants : un accès direct aux cibles, une capacité à contourner les filtres de sécurité traditionnels, et la possibilité d’exploiter la confiance que les utilisateurs accordent aux messages reçus via ces applications. De plus, ces applications sont souvent configurées pour télécharger automatiquement les médias reçus, créant une opportunité pour l’exécution silencieuse du code malveillous.

L’évolution des menaces contre les appareils Android haut de gamme

LandFall cible spécifiquement les appareils Samsung haut de gamme, reflétant une tendance où les attaquants concentrent leurs efforts sur les smartphones les plus performants. Ces appareils sont particulièrement attractifs non seulement pour leur valeur financière, mais aussi pour les données sensibles qu’ils contiennent et leur connectivité avec d’autres appareils et services.

Les fabricants de smartphones réagissent en renforçant leurs systèmes de sécurité, mais la course entre les attaquants et les défenseurs se poursuit. Les utilisateurs de smartphones haut de gamme doivent donc être particulièrement vigilants et suivre les meilleures pratiques de sécurité pour protéger leurs appareils contre ces menaces ciblées.

Mesures de protection contre le spyware LandFall

Face à l’émergence de menaces sophistiquées comme LandFall, les utilisateurs et les organisations doivent mettre en œuvre des mesures de protection robustes. Une approche défensive en couches, combinant des mises à jour régulières, des pratiques de navigation sécurisées et des outils de protection avancés, est essentielle pour se prémunir contre ces attaques.

Mises à jour de sécurité et meilleures pratiques

La mesure de protection la plus cruciale contre LandFall est l’application rapide des mises à jour de sécurité. Samsung a corrigé la vulnérabilité CVE-2025-21042 en avril 2025, et les utilisateurs devraient s’assurer que leurs appareils sont à jour avec les dernières corrections de sécurité. Dans la pratique, il est recommandé d’activer les mises à jour automatiques lorsque cela est possible.

Outre les mises à jour, plusieurs autres pratiques peuvent aider à réduire le risque d’infection :

• Désactiver le téléchargement automatique des médias dans les applications de messagerie
• Ne pas ouvrir d’images ou de fichiers de sources inconnues ou non vérifiées
• Installer des applications uniquement depuis les boutiques officielles
• Utiliser des solutions de sécurité mobile réputées
• Activer les fonctionnalités de sécurité avancées d’Android

Fonctionnalités de protection avancée sur Android

Android propose plusieurs fonctionnalités de protection avancée qui peuvent aider à contrer les menaces comme LandFall. La fonctionnalité “Advanced Protection”, introduite dans Android 16, offre un niveau de sécurité supplémentaire au niveau de l’appareil, y compris des contrôles plus stricts sur les installations d’applications et les permissions.

“La protection avancée d’Android représente un pas important dans la défense contre les logiciels espion ciblés. En activant ces fonctionnalités, les utilisateurs peuvent ajouter une couche de sécurité supplémentaire qui peut empêcher l’installation de malwares comme LandFall.”

Pour les utilisateurs d’appareils Apple, le “Lockdown Mode” offre une protection similaire contre les menaces avancées, bien qu’il soit spécifiquement conçu pour les cibles potentielles des logiciels espong développés par des acteurs étatiques. Bien que cette fonctionnalité soit disponible sur iOS, elle montre la direction que la sécurité mobile prend pour contrer ces menaces sophistiquées.

Conclusion : Renforcer la sécurité mobile face aux menaces émergentes

L’émergence du spyware LandFall illustre l’évolution constante des menaces dans le paysage de la cybersécurité mobile. En exploitant une vulnérabilité zéro-jour dans les smartphones Samsung et en utilisant WhatsApp comme vecteur d’attaque, les attaquants démontrent une capacité d’innovation inquiétante qui nécessite une vigilance accrue de la part des utilisateurs et des développeurs.

Pour se protéger contre des logiciels espion comme LandFall, il est essentiel d’adopter une approche défensive en couches : maintenir les appareils à jour avec les dernières corrections de sécurité, suivre les meilleures pratiques de navigation, et utiliser les fonctionnalités de protection avancées disponibles. Dans un monde où les smartphones contiennent des informations de plus en plus sensibles, la protection de ces appareils n’est plus une option mais une nécessité.

À mesure que les menaces continuent d’évoluer, la collaboration entre les chercheurs en sécurité, les développeurs et les utilisateurs devient encore plus cruciale. En partageant les informations sur les nouvelles vulnérabilités et les campagnes d’attaque, et en mettant rapidement à jour les systèmes de défense, nous pouvons créer un écosystème numérique plus résilient face aux logiciels espion comme LandFall.