La sicurezza degli smartphone è nuovamente sotto i riflettori dopo la scoperta di una campagna di spionaggio avanzata che ha preso di mira specifici modelli Samsung Galaxy.
Lo spyware, identificato come LANDFALL, ha sfruttato una pericolosa vulnerabilità zero-day all’interno della libreria di elaborazione delle immagini del produttore coreano, rimanendo attivo per mesi prima che una patch di sicurezza risolvesse la falla.
L’attacco, operativo da metà 2024, è stato neutralizzato solo con gli aggiornamenti di sicurezza distribuiti da Samsung nel mese di aprile 2025.
La Portata della Minaccia: Cosa è Successo
Al centro dell’incidente di sicurezza si trova la libreria di elaborazione delle immagini Android di Samsung, un componente software fondamentale per la gestione e la decodifica di vari formati, inclusi quelli proprietari dell’azienda.
All’interno di questo sistema è stata identificata una vulnerabilità critica, catalogata ufficialmente come CVE-2025-21042.
Questa falla, di tipo zero-day, è stata lo strumento perfetto per il deployment dello spyware LANDFALL, consentendo agli attaccanti di compromettere i dispositivi in modo silenzioso e altamente efficace.
Il termine zero-day indica proprio una vulnerabilità sconosciuta allo sviluppatore, il quale non ha tempo per preparare una contromisura prima che venga attivamente sfruttata da soggetti malintenzionati.
Dieci Mesi di Esposizione: La Cronologia dell’Attacco
Secondo le indagini condotte dai ricercatori di Palo Alto Network, la campagna LANDFALL era operativa già dal luglio 2024.
La finestra di esposizione per gli utenti è stata quindi estremamente ampia, coprendo un arco temporale di circa dieci mesi, fino alla distribuzione della patch correttiva nell’aprile 2025.
In questo lungo lasso di tempo, i modelli Samsung Galaxy vulnerabili sono stati esposti a un rischio elevatissimo senza che gli utenti ne fossero consapevoli.
Il metodo di infiltrazione era particolarmente subdolo: l’infezione avveniva tramite l’invio di file immagine in formato DNG appositamente corrotti.
La criticità di questo vettore d’attacco risiedeva nel fatto che non era richiesta alcuna interazione da parte dell’utente vittima.
La compromissione del dispositivo avveniva in modo automatico e istantaneo, sia alla ricezione del file immagine dannoso, sia durante la semplice visualizzazione della sua anteprima all’interno di applicazioni di messaggistica.
Sebbene inizialmente la diffusione fosse stata attribuita a WhatsApp, Meta, la società proprietaria dell’app, ha preso le distanze da queste affermazioni.
Un portavoce di Meta, come riportato da Forbes, ha dichiarato di non aver trovato alcuna base che supporti il coinvolgimento della piattaforma e ha sottolineato l’assenza di prove concrete a sostegno di tale ricostruzione.
Le Capacità Invasive dello Spyware LANDFALL
Una volta che il dispositivo Samsung Galaxy risultava compromesso, gli hacker ottenevano il controllo remoto, trasformando il telefono in uno strumento di sorveglianza totale.
Le funzionalità dello spyware LANDFALL erano estremamente invasive e includevano:
- La registrazione ambientale attraverso il microfono e l’intercettazione del contenuto delle chiamate telefoniche.
- Il tracciamento in tempo reale della posizione geografica del dispositivo tramite GPS.
- L’accesso completo a dati personali e sensibili, tra cui galleria fotografica, messaggi, rubrica, registri delle chiamate e cronologia di navigazione web.
- La capacità di occultarsi per evitare il rilevamento da parte dei comuni software antivirus.
- La persistenza sul sistema, garantendo che rimanesse attivo anche dopo il riavvio del telefono.
Obiettivi e Contesto Geopolitico dell’Attacco
L’analisi degli incidenti ha rivelato che gli attacchi di LANDFALL non erano una campagna su larga scala, ma erano progettati per colpire individui specifici.
Itay Cohen, ricercatore senior presso Palo Alto Network, ha fornito un contesto cruciale, affermando che il movente principale di queste operazioni era lo spionaggio.
L’attività malevola si è concentrata prevalentemente in determinate aree geografiche, con un focus particolare sul Medio Oriente.
Le nazioni maggiormente colpite includono Turchia, Iran, Iraq e Marocco.
Per quanto riguarda i modelli di smartphone, i bersagli principali sono state le serie Galaxy S22, Galaxy S23, Galaxy S24, insieme ai pieghevoli Galaxy Z Fold 4 e Galaxy Z Flip 4.
La serie Galaxy S25, invece, non risulta essere stata coinvolta in questa campagna.
Aggiornamenti e Raccomandazioni di Sicurezza
Sebbene LANDFALL non rappresenti più una minaccia attiva da aprile, l’episodio ha evidenziato una criticità ricorrente.
Samsung, infatti, ha dovuto affrontare una seconda vulnerabilità zero-day, identificata come CVE-2025-21043, corretta solo due mesi fa, a settembre 2025.
Anche questa seconda falla è stata scoperta nella medesima libreria di elaborazione delle immagini, ma la patch distribuita ha ora risolto definitivamente il problema.
È significativo notare che Samsung, al momento della distribuzione della patch critica ad aprile, non ha rilasciato alcuna dichiarazione pubblica ufficiale per informare gli utenti dell’incidente.
Gli esperti di cybersecurity raccomandano a tutti i possessori di Samsung Galaxy con sistemi operativi Android 13, 14 o 15 di verificare di aver installato l’aggiornamento di sicurezza Android di aprile 2025 o una versione successiva.
Solo in questo modo è possibile essere certi che l’exploit sia stato corretto.
Si consiglia vivamente di adottare ulteriori misure preventive, come disattivare il download automatico dei contenuti multimediali all’interno di app di messaggistica come WhatsApp e Telegram.
Per gli utenti che si ritengono particolarmente a rischio, come giornalisti, attivisti o figure pubbliche, è opportuno valutare l’attivazione della modalità di protezione avanzata di Android o della modalità di blocco disponibile sui dispositivi iOS.
