Un nouveau logiciel espion cible les appareils « Samsung » via une faille « zero-day »

SadaNews - La équipe de recherche « Palo Alto Networks » a révélé une nouvelle famille de logiciels espions visant le système « Android » appelée « LANDFALL », utilisée dans des campagnes de piratage visant les appareils « Samsung Galaxy » au Moyen-Orient. Le logiciel exploite une faille « zero-day » dans la bibliothèque de traitement d'images de Samsung, faisant partie d'une série de failles similaires détectées au cours des deux dernières années sur diverses plateformes.

Selon les chercheurs, la faille a été exploitée activement avant que « Samsung » ne publie une mise à jour pour la corriger en avril 2025, suite à des rapports préliminaires suggérant une utilisation pratique. À l'époque, aucune analyse technique approfondie n'a été publiée concernant la nature de la faille ou le logiciel qui lui est associé.

L'analyse de l'entreprise a montré que le logiciel « LANDFALL » était intégré dans des fichiers d'images malveillants au format « DNG » qui auraient été envoyés via l'application WhatsApp. Le mécanisme d'envoi ressemble à des séries d'attaques « sans clic » précédemment observées contre les plateformes « Apple » et « WhatsApp » en août 2025, en plus d'une autre exploitation potentielle annoncée en septembre. Le rapport a confirmé qu'il n'existe pas de nouvelles failles « WhatsApp » liées à cette campagne jusqu'à présent.

Les chercheurs ont noté que la campagne « LANDFALL » a effectivement commencé au milieu de l'année 2024, exploitant la faille des mois avant que « Samsung » ne publie le correctif. En septembre 2025, la société a corrigé une nouvelle faille de même type dans la bibliothèque photographique, augmentant ainsi le niveau de protection contre ce type d'attaques.

Les résultats de l'analyse de l'équipe « Palo Alto Networks » ont montré que le logiciel « LANDFALL » a été spécialement conçu pour cibler les appareils « Samsung Galaxy » dans le cadre d'attaques ciblées au Moyen-Orient, et possède de vastes capacités de surveillance, y compris l'enregistrement audio, le suivi de la localisation, ainsi que l'extraction de photos, de médias et de données de contact. Le logiciel fonctionne en exploitant la faille « CVE-2025-21042 » dans la bibliothèque de traitement d'images, à travers des fichiers « DNG » malveillants qui auraient été transmis aux utilisateurs via des canaux de communication populaires.

Les preuves suggèrent la possibilité d'utiliser une méthode « sans clic », qui ressemble à des attaques récentes ayant ciblé les plateformes « iOS » et « Samsung ». Les chercheurs ont également noté des similitudes dans l'infrastructure de la campagne avec des opérations d'espionnage commercial apparues précédemment dans la région, ce qui pourrait renforcer l'hypothèse d'un lien avec des entités privées. Le logiciel a continué à fonctionner discrètement pendant plusieurs mois avant d'être découvert, tandis que la société confirme que les appareils ayant reçu des mises à jour de sécurité Samsung depuis avril 2025 ne sont plus exposés à ce risque.