Pesquisadores da Palo Alto Networks identificaram o spyware Landfall, que usou uma falha inédita para invadir celulares Samsung Galaxy. O ataque durou quase um ano e comprometia dados pessoais dos usuários sem precisar de ação deles.
O malware utilizava uma imagem maliciosa para se infiltrar, explorando uma vulnerabilidade no sistema Android da Samsung. O foco era em alvos específicos, especialmente no Oriente Médio, incluindo países como Turquia, Irã e Marrocos.
A Samsung corrigiu a falha em abril de 2025 após meses de ataques. O spyware tinha acesso a fotos, mensagens, microfone e localização, representando sério risco à privacidade dos dispositivos afetados.
Campanha de espionagem digital mira celulares Galaxy com Spyware em Galaxy. Pesquisadores da Palo Alto Networks detectaram um ataque que explorou uma falha até então desconhecida nos dispositivos da Samsung, classificada como zero-day. O ataque durou quase um ano, expondo informações sensíveis de usuários.
O spyware, batizado de Landfall, foi identificado em julho de 2024. Ele se aproveitava de uma vulnerabilidade no sistema Android da Samsung, permitindo a invasão dos aparelhos por meio do envio de uma imagem maliciosa. A ação não exigia qualquer interação por parte do usuário.
O relatório da Unit 42, divisão de cibersegurança da Palo Alto Networks, indica que o alcance do spyware era limitado. Ele tinha como alvo indivíduos específicos, sugerindo uma operação de espionagem direcionada e não uma disseminação em massa. As vítimas estavam concentradas no Oriente Médio, incluindo usuários de países como Marrocos, Irã, Iraque e Turquia.
Um dos endereços IP associados ao malware foi classificado como malicioso pela equipe nacional de resposta cibernética da Turquia (USOM). Esse fato reforça a hipótese de que cidadãos turcos estavam entre os alvos. A vulnerabilidade explorada, registrada como CVE-2025-21042, foi corrigida pela Samsung em abril de 2025, após meses de ataques.
Itay Cohen, pesquisador sênior da Unit 42, destacou que o caso se tratou de “um ataque de precisão contra indivíduos específicos”. O Spyware em Galaxy não foi uma campanha de disseminação de malware em larga escala.
O Landfall possuía amplo acesso aos dados dos dispositivos comprometidos. Ele podia extrair fotos, mensagens, contatos e registros de chamadas. Além disso, ativava o microfone e rastreava a localização das vítimas.
A análise do código revelou que o malware citava especificamente modelos como Galaxy S22, S23, S24 e alguns da linha Z. Especialistas acreditam que outros aparelhos com Android 13 a 15 também foram afetados pelo Spyware em Galaxy.
O relatório identificou semelhanças entre a infraestrutura digital usada pelo Landfall e a de um grupo conhecido como Stealth Falcon. Este grupo já foi vinculado a ataques anteriores contra jornalistas e ativistas nos Emirados Árabes Unidos. No entanto, os pesquisadores afirmam que não há provas suficientes para atribuir o caso a um governo ou fornecedor de vigilância específicos.
Via Tecnoblog
