I ricercatori di sicurezza hanno scoperto una sofisticata campagna spyware che ha preso di mira specificamente i telefoni Samsung Galaxy nell’ultimo anno. Soprannominato “Landfall”, lo spyware ha sfruttato una vulnerabilità di sicurezza precedentemente sconosciuta – uno “zero-day” – nel software del telefono Galaxy, evidenziando la minaccia persistente rappresentata dagli strumenti di sorveglianza avanzati.
La vulnerabilità zero-day e il suo sfruttamento
Lo spyware, rilevato per la prima volta nel luglio 2024, sfruttava un difetto nel software Galaxy di Samsung di cui Samsung all’epoca non era a conoscenza. Questa vulnerabilità ha consentito agli aggressori di installare potenzialmente lo spyware sul telefono di una vittima semplicemente inviando un’immagine dannosa, probabilmente tramite un’applicazione di messaggistica. La cosa preoccupante è che questo attacco potrebbe non aver richiesto alcuna interazione da parte dell’utente del telefono, rendendolo estremamente difficile da rilevare e prevenire.
Samsung ha affrontato la vulnerabilità della sicurezza, ora identificata come CVE-2025-21042, nell’aprile 2025. Tuttavia, fino ad ora, i dettagli sulla campagna spyware che sfruttava attivamente questa vulnerabilità erano stati divulgati pubblicamente.
Identificazione delle tattiche e dei potenziali obiettivi
I ricercatori dell’Unità 42 di Palo Alto Networks hanno notato che questo sembra essere un “attacco di precisione” rivolto a individui specifici, piuttosto che una distribuzione diffusa di malware. Ciò suggerisce fortemente che la campagna sia stata guidata dallo spionaggio, con gli aggressori concentrati sulla raccolta di informazioni su obiettivi selezionati.
Mentre lo sviluppatore specifico dello spyware Landfall rimane sconosciuto, l’Unità 42 ha trovato collegamenti interessanti con un noto fornitore di servizi di sorveglianza chiamato Stealth Falcon. Stealth Falcon è stato precedentemente implicato in attacchi spyware contro giornalisti, attivisti e dissidenti degli Emirati risalenti al 2012. La sovrapposizione nell’infrastruttura digitale tra Landfall e Stealth Falcon solleva sospetti, sebbene un’attribuzione diretta a un particolare governo rimanga non confermata.
Ambito geografico e targeting per dispositivo
L’analisi dei campioni di spyware di Landfall caricati su VirusTotal ha rivelato attività originarie di Marocco, Iran, Iraq e Turchia nel corso del 2024 e all’inizio del 2025. In particolare, il team nazionale di preparazione informatica della Turchia (USOM) ha contrassegnato uno degli indirizzi IP utilizzati da Landfall come dannoso, supportando ulteriormente la teoria secondo cui sarebbero stati presi di mira individui all’interno della Turchia.
Il codice dello spyware fa riferimento specificamente a cinque modelli di telefoni Galaxy, inclusi Galaxy S22, S23 e S24, nonché ad alcuni dispositivi della serie Z. I ricercatori ritengono che la vulnerabilità potrebbe essersi estesa ad altri dispositivi Galaxy con versioni Android dalla 13 alla 15.
Funzionalità dello spyware Landfall
Similmente ad altri spyware di livello governativo, Landfall offre ampie funzionalità di sorveglianza dei dispositivi. È in grado di accedere a un’ampia gamma di dati personali, tra cui foto, messaggi, contatti e registri delle chiamate. Inoltre, può attivare il microfono del dispositivo per la registrazione audio e tracciare la posizione precisa dell’utente.
Quest’ultima scoperta sottolinea le continue sfide poste dagli spyware sofisticati e la necessità di una maggiore vigilanza tra gli individui a rischio di sorveglianza mirata.
L’emergere di Landfall evidenzia la minaccia persistente e in evoluzione degli attacchi spyware mirati, in particolare contro individui in regioni note per l’attivismo politico e sociale. Sebbene Samsung abbia corretto la vulnerabilità specifica, l’incidente serve a ricordare l’importanza di mantenere i dispositivi aggiornati e di prestare attenzione quando si aprono allegati o collegamenti da fonti non attendibili.
