Investigadores de seguridad descubrieron software espía de Android dirigido a teléfonos Samsung Galaxy durante una campaña de piratería que duró casi un año.
Los investigadores de la Unidad 42 de Palo Alto Networks dijeron que el software espía, llamado Landfall, se detectó por primera vez en julio de 2024 y se basó en la explotación de una falla de seguridad en el software del teléfono Galaxy que Samsung no conocía en ese momento, un tipo de vulnerabilidad conocida como día cero.
La Unidad 42 dijo que la falla podría explotarse enviando una imagen creada con fines malintencionados al teléfono de la víctima, posiblemente entregada a través de una aplicación de mensajería, y que el ataque podría no haber requerido ninguna interacción por parte de la víctima.
Samsung corrigió esta falla de seguridad (rastreada como CVE-2025-21042) en abril de 2025, pero los detalles de la campaña de software espía que aprovechó esta falla no se informaron anteriormente.
Los investigadores dijeron que no está claro qué proveedor de vigilancia desarrolló el software espía Landfall, y tampoco está claro cuántas personas fueron atacadas como parte de la campaña. Pero los investigadores dijeron que el ataque probablemente tuvo como objetivo personas en el Medio Oriente.
Itay Cohen, investigador principal de la Unidad 42, dijo a TechCrunch que la campaña de piratería consistió en «ataques de precisión» contra individuos específicos en lugar de malware distribuido masivamente, lo que indica que los ataques probablemente fueron el resultado de un espionaje.
La Unidad 42 descubrió que el software espía Landfall comparte una infraestructura digital superpuesta utilizada por un conocido proveedor de vigilancia llamado Stealth Falcon. Stealth Falcon fue visto en ataques de software espía contra periodistas, activistas y disidentes en los Emiratos Árabes Unidos ya en 2012. Sin embargo, los investigadores dijeron que si bien la conexión Stealth Falcon es interesante, no es suficiente para atribuir definitivamente el ataque a un cliente gubernamental específico.
La Unidad 42 dijo que las muestras de software espía Landfall que descubrió fueron cargadas en el servicio de escaneo de malware VirusTotal por personas en Marruecos, Irán, Irak y Turquía entre 2024 y principios de 2025.
El Equipo Nacional de Preparación Cibernética de Turquía, conocido como USOM, marcó como maliciosa una de las direcciones IP a las que se conectaba el software espía Landfall, y la Unidad 42 dijo que esto respalda la teoría de que personas dentro de Turquía pueden haber sido atacadas.
Al igual que otros programas espía gubernamentales, Landfall es capaz de realizar una vigilancia exhaustiva del dispositivo, incluido el acceso a datos de la víctima, como fotos, mensajes, contactos y registros de llamadas, además de tocar el micrófono del dispositivo y rastrear su ubicación exacta.
La Unidad 42 descubrió que el código fuente del software espía hace referencia a cinco teléfonos Galaxy específicos como objetivos, incluidos los modelos Galaxy S22, S23, S24 y algunos modelos Z. Cohen dijo que la vulnerabilidad existía en otros dispositivos Galaxy y podría haber afectado las versiones 13 a 15 de Android.
Samsung no respondió a una solicitud de comentarios.
Source link
