Les chercheurs en sécurité ont découvert une campagne sophistiquée de logiciels espions ciblant spécifiquement les téléphones Samsung Galaxy au cours de l’année écoulée. Surnommé « Landfall », le logiciel espion a exploité une vulnérabilité de sécurité jusqu’alors inconnue – un « jour zéro » – dans le logiciel du téléphone Galaxy, soulignant la menace persistante posée par les outils de surveillance avancés.
La vulnérabilité Zero-Day et son exploitation
Le logiciel espion, détecté pour la première fois en juillet 2024, exploitait une faille dans le logiciel Galaxy de Samsung dont Samsung ignorait à l’époque. Cette vulnérabilité permettait aux attaquants d’installer potentiellement le logiciel espion sur le téléphone d’une victime simplement en envoyant une image malveillante, probablement via une application de messagerie. Il est inquiétant de constater que cette attaque n’a peut-être nécessité aucune interaction de la part de l’utilisateur du téléphone, ce qui la rend extrêmement difficile à détecter et à prévenir.
Samsung a corrigé la vulnérabilité de sécurité, désormais identifiée comme CVE-2025-21042, en avril 2025. Cependant, jusqu’à présent, les détails de la campagne de logiciels espions exploitant activement cette vulnérabilité avaient été divulgués publiquement.
Identifier les tactiques et les cibles potentielles
Les chercheurs de l’unité 42 de Palo Alto Networks ont noté qu’il s’agissait d’une « attaque de précision » ciblant des individus spécifiques, plutôt que d’une distribution généralisée de logiciels malveillants. Cela suggère fortement que la campagne était motivée par l’espionnage, les attaquants se concentrant sur la collecte de renseignements sur des cibles sélectionnées.
Bien que le développeur spécifique du logiciel espion Landfall reste inconnu, l’Unité 42 a trouvé des liens intrigants vers un fournisseur de surveillance connu appelé Stealth Falcon. Stealth Falcon a déjà été impliqué dans des attaques de logiciels espions contre des journalistes, des militants et des dissidents émiratis depuis 2012. Le chevauchement de l’infrastructure numérique entre Landfall et Stealth Falcon éveille des soupçons, bien qu’une attribution directe à un gouvernement particulier reste à confirmer.
Portée géographique et ciblage des appareils
L’analyse des échantillons de logiciels espions Landfall téléchargés sur VirusTotal a révélé une activité provenant du Maroc, d’Iran, d’Irak et de Turquie tout au long de 2024 et début 2025. Notamment, l’équipe nationale turque de préparation à la cybersécurité (USOM) a signalé l’une des adresses IP utilisées par Landfall comme malveillante, confirmant ainsi la théorie selon laquelle des individus en Turquie étaient ciblés.
Le code du logiciel espion fait spécifiquement référence à cinq modèles de téléphones Galaxy, dont les Galaxy S22, S23 et S24, ainsi qu’à certains appareils de la série Z. Les chercheurs pensent que la vulnérabilité pourrait s’être étendue à d’autres appareils Galaxy exécutant les versions Android 13 à 15.
Capacités des logiciels espions Landfall
Semblable à d’autres logiciels espions gouvernementaux, Landfall offre de larges capacités de surveillance des appareils. Il est capable d’accéder à un large éventail de données personnelles, notamment des photos, des messages, des contacts et des journaux d’appels. De plus, il peut activer le microphone de l’appareil pour l’enregistrement audio et suivre l’emplacement précis de l’utilisateur.
Cette dernière découverte souligne les défis permanents posés par les logiciels espions sophistiqués et la nécessité d’une vigilance accrue parmi les personnes exposées à un risque de surveillance ciblée.
L’émergence de Landfall met en évidence la menace persistante et évolutive d’attaques ciblées de logiciels espions, en particulier contre des individus dans des régions connues pour leur militantisme politique et social. Bien que Samsung ait corrigé cette vulnérabilité spécifique, l’incident rappelle l’importance de maintenir les appareils à jour et de faire preuve de prudence lors de l’ouverture de pièces jointes ou de liens provenant de sources non fiables.
