Una nuova e sofisticata minaccia informatica ha preso di mira gli smartphone Samsung Galaxy. Ricercatori di sicurezza hanno identificato uno spyware, battezzato Landfall, che è stato impiegato in una campagna di hacking mirata durata quasi un anno.
Lo spyware sfruttava una vulnerabilità critica fino ad allora sconosciuta, o “zero-day”, nel software dei dispositivi del colosso sudcoreano.
Landfall: potenzialità e scoperta del nuovo spyware che prende di mira i Samsung
Il rapporto proviene da Unit 42, il team di ricerca di Palo Alto Networks. Secondo gli analisti, Landfall è stato rilevato per la prima volta nel luglio 2024. Il suo successo si basava sullo sfruttamento di una falla di sicurezza, ora catalogata come CVE-2025-21042, che Samsung non conosceva al momento dell’inizio degli attacchi.
Unit 42 ha spiegato che la vulnerabilità poteva essere attivata inviando un’immagine appositamente manipolata al telefono della vittima, molto probabilmente attraverso un’app di messaggistica. È preoccupante notare che questi attacchi potrebbero non aver richiesto alcuna interazione da parte dell’utente, configurandosi potenzialmente come attacchi “zero-click”.
Samsung ha infine rilasciato una patch per correggere la falla nell’aprile 2025, ma i dettagli di questa campagna di spionaggio, che ha abusato della vulnerabilità, non erano stati resi noti finora.
Come altri spyware governativi di alto profilo, Landfall è progettato per una sorveglianza completa e invasiva. Una volta infettato il dispositivo, gli aggressori ottengono un accesso quasi totale ai dati della vittima, inclusi foto, messaggi, contatti e registri delle chiamate. Lo spyware è inoltre in grado di attivare il microfono del dispositivo per intercettare le conversazioni ambientali e di tracciare la posizione GPS precisa dell’utente.
I ricercatori di Unit 42 hanno scoperto che il codice sorgente dello spyware faceva riferimento specifico a cinque modelli Galaxy, tra cui il Galaxy S22, S23, S24 e alcuni modelli della serie Z. Itay Cohen, ricercatore capo di Unit 42, ha specificato che la vulnerabilità potrebbe essere stata presente anche su altri dispositivi Galaxy e ha interessato le versioni di Android dalla 13 alla 15.
Chi erano gli obiettivi di Landfall?
Cohen ha dichiarato a TechCrunch che la campagna consisteva in un “attacco di precisione” contro individui specifici, e non in un malware distribuito in massa. Questo modus operandi indica fortemente che l’obiettivo era lo spionaggio.
Sebbene non sia noto quanti individui siano stati colpiti, Unit 42 ritiene che gli attacchi fossero probabilmente diretti verso obiettivi in Medio Oriente. Questa ipotesi è supportata da diverse prove: campioni di Landfall sono stati caricati su VirusTotal (un servizio di scansione malware) da individui in Marocco, Iran, Iraq e Turchia tra il 2024 e l’inizio del 2025.
Inoltre, USOM, il team nazionale turco di cyber-prontezza, ha segnalato come dannoso uno degli indirizzi IP a cui Landfall si connetteva, supportando la teoria che individui in Turchia potessero essere stati presi di mira.
L’identità del produttore dello spyware rimane un mistero. I ricercatori hanno notato che Landfall condivide parte dell’infrastruttura digitale con “Stealth Falcon”, un noto fornitore di sorveglianza già associato ad attacchi contro giornalisti, attivisti e dissidenti emiratini fin dal 2012.
Tuttavia, Unit 42 precisa che, sebbene intriganti, questi collegamenti non sono sufficienti per attribuire con certezza gli attacchi a un particolare cliente governativo o a un singolo fornitore.
