Questa minaccia informatica, rilevata dagli analisti di sicurezza della Unit 42 di Palo Alto Networks, sfrutta una vulnerabilità critica.
È stato recentemente individuato un nuovo e sofisticato spyware denominato LANDFALL, che prende di mira in modo specifico gli smartphone Samsung Galaxy di fascia alta. Questa minaccia informatica, rilevata dagli analisti di sicurezza della Unit 42 di Palo Alto Networks, sfrutta una vulnerabilità critica per condurre operazioni di sorveglianza e raccolta di dati sensibili, mettendo a rischio la privacy di numerosi utenti in diverse aree geografiche.
Il meccanismo di diffusione e le capacità di LANDFALL
Questo malware si insinua nei dispositivi sfruttando una vulnerabilità zero-day (CVE-2025-21042) presente nella libreria di elaborazione delle immagini di Samsung, una falla che ha permesso agli attaccanti di accedere ai terminali diversi mesi prima che fosse disponibile una patch correttiva ufficiale. La diffusione avviene principalmente tramite messaggi WhatsApp contenenti file immagine in formato DNG modificati appositamente per veicolare il codice malevolo.
La particolarità di questo attacco è la modalità “zero-clic”: la semplice ricezione del file compromesso è sufficiente per infettare lo smartphone, senza che l’utente debba compiere alcuna azione. Questo rende la minaccia estremamente insidiosa e difficile da intercettare preventivamente.
Tra i dispositivi maggiormente colpiti figurano i modelli top di gamma Samsung Galaxy S22, S23, S24 e alcuni smartphone pieghevoli (foldable) della stessa casa produttrice. Una volta installato, LANDFALL garantisce agli hacker un controllo totale sul dispositivo: può attivare la registrazione audio attraverso il microfono, monitorare la posizione in tempo reale, catturare foto e video, accedere ai contatti, ai registri delle chiamate e ai messaggi, nonché estrarre dati sensibili custoditi nel telefono.
Gli esperti ritengono che LANDFALL sia stato sviluppato non da semplici hacker o gruppi criminali, ma da un fornitore di spyware professionale, probabilmente un attore del settore privato (PSOA) o una società specializzata nella produzione di strumenti di sorveglianza su commissione. L’analisi del comportamento operativo dello spyware suggerisce un impiego mirato, con focus su utenti residenti in Paesi quali Iraq, Iran, Turchia e Marocco, territori di elevato interesse strategico e politico.
Questa selettività indica che lo spyware non è un’arma di massa, bensì un dispositivo di sorveglianza tattica, utilizzato per raccogliere informazioni sensibili da individui specifici in contesti di importanza geopolitica.
La scoperta di LANDFALL evidenzia come gli spyware di ultima generazione stiano rapidamente evolvendosi in strumenti sempre più sofisticati, in grado di competere con le tecnologie militari. Questi software, offerti sul mercato privato della cybersorveglianza, si collocano spesso in un’area grigia tra intelligence governativa e attività commerciali, con un impatto rilevante su questioni politiche ed economiche.