Che cos'è LANDFALL, il pericoloso spyware che attacca gli smartphone Samsung

In Sintesi

• Identificato un sofisticato spyware Android chiamato LANDFALL che sfrutta una vulnerabilità zero-day nei dispositivi Samsung Galaxy di fascia alta.
• Questo spyware si diffonde principalmente tramite file immagine DNG manipolati su WhatsApp e, una volta installato, garantisce l’accesso completo al dispositivo per la sorveglianza mirata.

Gli esperti di sicurezza informatica di Unit 42 di Palo Alto Networks hanno rilevato una nuova minaccia che sta interessando i possessori di smartphone Samsung Galaxy. Si tratta di uno spyware Android, battezzato LANDFALL, un software sviluppato per la sorveglianza commerciale e in grado di prendere il controllo del dispositivo colpito.

Stando alle prime informazioni a disposizione, LANDFALL non è il prodotto di hacker indipendenti o gruppi criminali, ma è uno strumento professionale, dotato di infrastrutture operative e tecniche avanzate, cosa che potrebbe dimostrare che è stato prodotto attore offensivo del settore privato (PSOA) oppure da un gruppo specializzato nella produzione di spyware su commissione.

Come funziona LANDFALL e cosa può fare

LANDFALL sfrutta una vulnerabilità zero-day (CVE-2025-21042) individuata nella libreria di elaborazione delle immagini di Samsung che ha permesso agli hacker di infiltrarsi nei dispositivi mesi prima che l’azienda produttrice potesse distribuire una patch di sicurezza.

Secondo le analisi, lo spyware si diffondeva attraverso WhatsApp, nascosto all’interno di file immagine in formato DNG manipolati; i principali bersagli sarebbero Samsung Galaxy S22, S23, S24 e alcuni foldable del colosso sudcoreano.

In molti casi, l’attacco avrebbe utilizzato una modalità “zero-clic”, cioè senza necessità di alcuna azione da parte della vittima, bastava ricevere il file malevolo per compromettere il dispositivo, rendendo l’attacco quasi impossibile da intercettare o bloccare in tempo.

Una volta installato questo spyware è in grado di fornire accesso completo allo smartphone. Tra le sue capacità ci sono:

• registrazione ambientale tramite microfono
• tracciamento della posizione in tempo reale
• acquisizione di foto e video
• accesso ai contatti, ai registri delle chiamate e ai messaggi
• esfiltrazione di dati sensibili archiviati sul dispositivo

Visto il livello di sofisticazione di LANDFALL, gli esperti credono sia stato progettato per operazioni di sorveglianza mirata, colpendo in modo selettivo gli utenti residenti in Paesi come Iraq, Iran, Turchia e Marocco, concentrandosi su obiettivi di interesse strategico o politico.

Come si stanno evolvendo gli spyware commerciali

LANDFALL rappresenta l’ennesima dimostrazione di come gli spyware “di nuova generazione” stanno diventando sempre più sofisticati, arrivando a diventare praticamente strumenti militari, sviluppati e venduti nel mercato privato della cybersorveglianza.

Si tratta, dunque, di un settore in costante crescita, spesso al confine tra intelligence statale e sorveglianza commerciale, un terreno dove i dati contenuti all’interno degli smartphone possono essere cruciali sia per la politica che per l’economia.

Oltretutto, la scoperta della vulnerabilità zero-day e il ritardo nella sua correzione evidenziano chiaramente la fragilità dell’ecosistema mobile, dove anche i dispositivi di punta, come i top di gamma Samsung, non sono immuni da minacce complesse e invisibili.

Per tenere al sicuro il proprio smartphone è fondamentale, dunque, installare immediatamente gli aggiornamenti di sicurezza, mantenere alta la vigilanza e ridurre al minimo l’esposizione a contenuti multimediali non verificati, anche se ricevuti tramite applicazioni considerate sicure come WhatsApp.