Los investigadores de seguridad han descubierto una sofisticada campaña de software espía dirigida específicamente a los teléfonos Samsung Galaxy durante el año pasado. Apodado “Landfall”, el software espía aprovechó una vulnerabilidad de seguridad previamente desconocida (un “día cero”) en el software del teléfono Galaxy, destacando la amenaza persistente que plantean las herramientas de vigilancia avanzadas.
La vulnerabilidad de día cero y su explotación
El software espía, detectado por primera vez en julio de 2024, aprovechó una falla en el software Galaxy de Samsung que Samsung desconocía en ese momento. Esta vulnerabilidad permitió a los atacantes instalar potencialmente el software espía en el teléfono de la víctima simplemente enviando una imagen creada con fines malintencionados, probablemente a través de una aplicación de mensajería. Lo preocupante es que es posible que este ataque no haya requerido ninguna interacción por parte del usuario del teléfono, lo que lo hace extremadamente difícil de detectar y prevenir.
Samsung abordó la vulnerabilidad de seguridad, ahora identificada como CVE-2025-21042, en abril de 2025. Sin embargo, hasta ahora, se habían divulgado públicamente detalles sobre la campaña de software espía que explota activamente esta vulnerabilidad.
Identificación de tácticas y objetivos potenciales
Los investigadores de la Unidad 42 de Palo Alto Networks han observado que esto parece ser un “ataque de precisión” dirigido a individuos específicos, en lugar de una distribución generalizada de malware. Esto sugiere claramente que la campaña fue impulsada por el espionaje, con los atacantes centrados en recopilar inteligencia sobre objetivos seleccionados.
Si bien se desconoce el desarrollador específico del software espía Landfall, la Unidad 42 ha encontrado vínculos intrigantes con un conocido proveedor de vigilancia llamado Stealth Falcon. Stealth Falcon ha estado implicado anteriormente en ataques de software espía contra periodistas, activistas y disidentes emiratíes que se remontan a 2012. La superposición en la infraestructura digital entre Landfall y Stealth Falcon genera sospechas, aunque una atribución directa a un gobierno en particular sigue sin confirmar.
Alcance geográfico y orientación por dispositivo
El análisis de las muestras de software espía de Landfall cargadas en VirusTotal reveló actividad originada en Marruecos, Irán, Irak y Turquía a lo largo de 2024 y principios de 2025. En particular, el equipo nacional de preparación cibernética (USOM) de Turquía marcó una de las direcciones IP utilizadas por Landfall como maliciosa, lo que respalda aún más la teoría de que personas dentro de Turquía fueron el objetivo.
El código del software espía hace referencia específicamente a cinco modelos de teléfonos Galaxy, incluidos los Galaxy S22, S23 y S24, así como a algunos dispositivos de la serie Z. Los investigadores creen que la vulnerabilidad puede haberse extendido a otros dispositivos Galaxy que ejecutan las versiones 13 a 15 de Android.
Capacidades del software espía Landfall
Al igual que otros programas espía de nivel gubernamental, Landfall ofrece amplias capacidades de vigilancia de dispositivos. Es capaz de acceder a una amplia gama de datos personales, incluidas fotos, mensajes, contactos y registros de llamadas. Además, puede activar el micrófono del dispositivo para grabar audio y rastrear la ubicación precisa del usuario.
Este último descubrimiento subraya los desafíos actuales que plantea el software espía sofisticado y la necesidad de una mayor vigilancia entre las personas en riesgo de vigilancia selectiva.
La aparición de Landfall pone de relieve la amenaza persistente y en evolución de los ataques de software espía dirigidos, particularmente contra personas en regiones conocidas por su activismo político y social. Si bien Samsung solucionó la vulnerabilidad específica, el incidente sirve como recordatorio de la importancia de mantener los dispositivos actualizados y tener precaución al abrir archivos adjuntos o enlaces de fuentes no confiables.
