Resumo
- O spyware Landfall explorou uma falha zero-day em celulares Galaxy, permitindo invasão via imagem maliciosa em apps de mensagens.
- O ataque, focado no Oriente Médio, visou modelos Galaxy S22, S23, S24 e da linha Z, afetando usuários em países como Marrocos, Irã, Iraque e Turquia.
- A vulnerabilidade CVE-2025-21042 foi corrigida em abril de 2025, e o Landfall tinha semelhanças com ataques do grupo Stealth Falcon.
Pesquisadores da Palo Alto Networks revelaram uma campanha de espionagem digital que teve como alvo celulares da linha Galaxy, da Samsung. O ataque, que durou quase um ano, explorou uma vulnerabilidade até então desconhecida pela empresa sul-coreana – o que a classifica como uma falha zero-day.
Batizado de Landfall, o spyware foi descoberto em julho de 2024 e se aproveitava de uma brecha no Android da Samsung. Ela permitia que hackers invadissem os dispositivos por meio do envio de uma imagem maliciosa, geralmente compartilhada por aplicativos de mensagens, sem que o usuário precisasse realizar qualquer ação.
Quem são os afetados?
De acordo com o relatório da Unit 42, divisão de cibersegurança da Palo Alto Networks, o spyware tinha alcance limitado e mirava alvos específicos – o que sugere uma operação de espionagem, e não uma disseminação em massa. Os indícios apontam que as vítimas estavam concentradas no Oriente Médio, incluindo usuários em países como Marrocos, Irã, Iraque e Turquia.
Um dos endereços IP associados ao malware chegou a ser classificado como malicioso pela equipe nacional de resposta cibernética da Turquia (USOM), reforçando a hipótese de que cidadãos turcos estavam entre os alvos. A vulnerabilidade usada, registrada como CVE-2025-21042, foi corrigida pela Samsung em abril de 2025 — meses após o início dos ataques.
O pesquisador sênior Itay Cohen, da Unit 42, explicou que o caso “foi um ataque de precisão contra indivíduos específicos”, e não uma campanha de disseminação de malware em larga escala.
O que o spyware fazia?
O Landfall tinha acesso amplo aos dados dos dispositivos comprometidos, podendo extrair fotos, mensagens, contatos e registros de chamadas, além de ativar o microfone e rastrear a localização das vítimas.
A análise do código revelou que o malware citava especificamente modelos como Galaxy S22, S23, S24 e alguns da linha Z, embora especialistas acreditem que outros aparelhos com Android 13 a 15 também tenham sido afetados.
O relatório também identificou semelhanças entre a infraestrutura digital usada pelo Landfall e a de um grupo conhecido como Stealth Falcon, vinculado a ataques anteriores contra jornalistas e ativistas nos Emirados Árabes Unidos. Ainda assim, os pesquisadores afirmam que não há provas suficientes para atribuir o caso a um governo ou fornecedor de vigilância específicos.
App espião atinge celulares Galaxy a partir de falha desconhecida
