Ce qui s'est passé? Les chercheurs en sécurité de l'unité 42 de Palo Alto Networks ont découvert une campagne de logiciel espion Android appelée Landfall. Le malware exploite une vulnérabilité Zero Day dans les téléphones Samsung Galaxy qui pourrait être déclenchée par une image malveillante envoyée à un téléphone, et il semble avoir été utilisé dans une campagne d'espionnage ciblée.
- La faille, identifiée comme CVE-2025-21042, se cachait dans la bibliothèque de traitement d'images de Samsung, permettant aux attaquants d'infecter les appareils avec un seul fichier image malveillant.
- L'exploit était sans clic, ce qui signifie que les victimes n'avaient pas besoin d'ouvrir ou de toucher quoi que ce soit. L'infection peut se produire lorsqu'une image .DNG malveillante est reçue via des applications de messagerie comme WhatsApp.
- Le problème a été corrigé par Samsung en avril 2025, mais le logiciel espion était déjà actif depuis juillet 2024, fonctionnant silencieusement pendant près d'un an avant sa découverte.
- La campagne ciblait principalement les Samsung Galaxy S22, S23, S24 et les modèles pliables comme le Z Fold 4 et le Z Flip 4, sur Android 13 à 15.
Ceci est important car : Même si Samsung a corrigé la faille en avril, les campagnes ciblées de logiciels espions peuvent durer des mois. Les chercheurs le décrivent comme une attaque de précision contre des personnes spécifiques, compatible avec la surveillance plutôt qu'avec un crime de masse.
- Les victimes se trouvaient principalement au Moyen-Orient et en Afrique du Nord, notamment en Iran, en Irak, en Turquie et au Maroc, ce qui suggère des motivations géopolitiques ou étatiques.
- Le malware a été distribué via un réseau de serveurs liés à des domaines précédemment associés au groupe de surveillance Stealth Falcon, bien que les chercheurs n'aient pas confirmé exactement qui se cache derrière.
- Selon l'unité 42, la conception et l'infrastructure du logiciel espion suggèrent que les cerveaux derrière Landfall sont des fournisseurs de services de surveillance professionnels plutôt que des cybercriminels.
Pourquoi devrais-je m’en soucier ? Pour les utilisateurs quotidiens, cela montre que les logiciels espions modernes ne nécessitent pas toujours un clic imprudent ; même recevoir le mauvais fichier pourrait déclencher un exploit.
- Une fois installé, Landfall pourrait enregistrer de l'audio, activer la caméra, collecter des messages, des contacts et des journaux d'appels, et suivre la localisation en temps réel.
OK, quelle est la prochaine étape ? Même si Samsung a déployé des correctifs pour cette faille, les chercheurs préviennent que d'autres exploits non divulgués pourraient encore exister. Si vous possédez un appareil Galaxy répertorié ci-dessus ou utilisez Android 13-15, voici ce que vous pouvez faire :
- Assurez-vous que votre téléphone Samsung est entièrement mis à jour.
- Évitez d'ouvrir des images ou des fichiers provenant d'expéditeurs inconnus, même dans les applications de messagerie courantes comme Whatsapp.
- Surveillez les anomalies : une décharge inattendue de la batterie, une surchauffe ou une utilisation inconnue des données en arrière-plan pourraient indiquer une compromission.
Les vulnérabilités comme Landfall sont assez difficiles à repérer avant qu’elles ne surviennent. C'est pourquoi les fabricants de téléphones redoublent d'efforts en matière de sécurité mobile, Apple étendant son mode de verrouillage et Google testant la détection des menaces en direct pour les utilisateurs d'Android.
