Lo scenario delineato dagli esperti di sicurezza di Unit 42 di Palo Alto Networks mette in luce un attacco di portata globale.
La sicurezza informatica nei dispositivi mobili continua a rappresentare una sfida cruciale: un nuovo spyware sofisticato, chiamato LANDFALL, ha preso di mira i Samsung Galaxy, sfruttando una vulnerabilità zero-day recentemente identificata. Lo scenario delineato dagli esperti di sicurezza di Unit 42 di Palo Alto Networks mette in luce un attacco di portata globale, con implicazioni preoccupanti per milioni di utenti.
Lo spyware LANDFALL e la vulnerabilità zero-day CVE-2025-21042
La minaccia è stata resa possibile dalla scoperta di una falla critica nella libreria di elaborazione immagini di Android, catalogata come CVE-2025-21042. Questa vulnerabilità, prima sconosciuta, consente a LANDFALL di infiltrarsi nei dispositivi Samsung Galaxy tramite un attacco definito zero-click. Ciò significa che l’infezione si attiva semplicemente ricevendo un file immagine DNG manipolato, inviato attraverso WhatsApp, senza alcuna azione da parte della vittima.
Questo metodo di contagio rappresenta un salto di qualità nei meccanismi di attacco informatico, perché non si basa sull’inganno diretto o sulla disattenzione dell’utente, ma sfrutta una falla tecnica che bypassa completamente le difese tradizionali. Una volta installato, lo spyware trasforma lo smartphone in uno strumento di sorveglianza avanzata, in grado di attivare microfono e fotocamera, monitorare la posizione GPS, accedere a contatti, foto e registri chiamate, permettendo un controllo remoto totale e invisibile.
Le indagini hanno evidenziato come l’area maggiormente colpita sia il Medio Oriente, con casi verificati in paesi come Iraq, Iran, Turchia e Marocco. Le infrastrutture e le tecniche utilizzate fanno presumere la partecipazione di gruppi altamente specializzati e ben finanziati, probabilmente affiliati a fornitori di spyware commerciali con portata internazionale.
La scelta di WhatsApp come vettore di attacco è particolarmente preoccupante. La diffusione capillare dell’app e la fiducia che gli utenti ripongono nei file multimediali ricevuti hanno facilitato la diffusione silenziosa di LANDFALL, abbassando le difese anche dei più prudenti. Questa dinamica evidenzia la necessità di una maggiore prudenza nell’apertura di file, anche da fonti apparentemente affidabili.
Samsung ha risposto alla minaccia rilasciando un aggiornamento di sicurezza ad aprile 2025, che elimina la vulnerabilità CVE-2025-21042. Tuttavia, l’attacco risultava attivo già dalla metà del 2024, esponendo numerosi dispositivi a un rischio prolungato e significativo. Questo ritardo sottolinea l’importanza di una collaborazione più stretta tra produttori, ricercatori di sicurezza e piattaforme di comunicazione per accelerare la scoperta e la mitigazione di simili falle.
Per gli utenti, il messaggio è chiaro e urgente: è fondamentale aggiornare tempestivamente il software dei propri dispositivi, anche in assenza di sintomi evidenti o allarmi diretti. Non bisogna mai abbassare la guardia nell’aprire file multimediali, nemmeno quando provengono da contatti noti. Inoltre, l’adozione di soluzioni di sicurezza avanzate può aiutare a individuare comportamenti sospetti e a prevenire infezioni future.