Pesquisadores de segurança descobriram uma campanha sofisticada de spyware que visava especificamente os telefones Samsung Galaxy no ano passado. Apelidado de “Landfall”, o spyware explorou uma vulnerabilidade de segurança até então desconhecida – um “dia zero” – no software do telefone Galaxy, destacando a ameaça persistente representada por ferramentas avançadas de vigilância.
A vulnerabilidade de dia zero e sua exploração
O spyware, detectado pela primeira vez em julho de 2024, aproveitou uma falha no software Galaxy da Samsung que a Samsung desconhecia na época. Essa vulnerabilidade permitiu que os invasores instalassem potencialmente o spyware no telefone da vítima simplesmente enviando uma imagem criada com códigos maliciosos, provavelmente por meio de um aplicativo de mensagens. É preocupante que este ataque possa não ter exigido qualquer interação do usuário do telefone, tornando-o extremamente difícil de detectar e prevenir.
A Samsung abordou a vulnerabilidade de segurança, agora identificada como CVE-2025-21042, em abril de 2025. No entanto, até agora, os detalhes sobre a campanha de spyware que explora ativamente esta vulnerabilidade tinham sido divulgados publicamente.
Identificando as táticas e os alvos potenciais
Os pesquisadores da Unidade 42 da Palo Alto Networks observaram que este parece ser um “ataque de precisão” direcionado a indivíduos específicos, em vez de uma distribuição generalizada de malware. Isto sugere fortemente que a campanha foi impulsionada pela espionagem, com os atacantes concentrados na recolha de informações sobre alvos seleccionados.
Embora o desenvolvedor específico do spyware Landfall permaneça desconhecido, a Unidade 42 encontrou links intrigantes para um conhecido fornecedor de vigilância chamado Stealth Falcon. O Stealth Falcon foi anteriormente implicado em ataques de spyware contra jornalistas, ativistas e dissidentes dos Emirados desde 2012. A sobreposição na infraestrutura digital entre Landfall e Stealth Falcon levanta suspeitas, embora uma atribuição direta a um governo específico permaneça não confirmada.
Escopo geográfico e segmentação por dispositivo
A análise das amostras de spyware Landfall enviadas para o VirusTotal revelou atividades originárias de Marrocos, Irão, Iraque e Turquia ao longo de 2024 e início de 2025. Notavelmente, a equipa nacional de preparação cibernética da Turquia (USOM) sinalizou um dos endereços IP utilizados pelo Landfall como malicioso, apoiando ainda mais a teoria de que indivíduos na Turquia foram alvo.
O código do spyware faz referência especificamente a cinco modelos de telefone Galaxy, incluindo o Galaxy S22, S23 e S24, bem como alguns dispositivos da série Z. Os pesquisadores acreditam que a vulnerabilidade pode ter se estendido a outros dispositivos Galaxy que executam as versões 13 a 15 do Android.
Capacidades do spyware Landfall
Semelhante a outros spywares de nível governamental, o Landfall oferece amplos recursos de vigilância de dispositivos. É capaz de acessar uma ampla variedade de dados pessoais, incluindo fotos, mensagens, contatos e registros de chamadas. Além disso, pode ativar o microfone do dispositivo para gravação de áudio e rastrear a localização precisa do usuário.
Esta última descoberta sublinha os desafios constantes colocados pelo spyware sofisticado e a necessidade de maior vigilância entre os indivíduos em risco de vigilância direccionada.
O surgimento do Landfall destaca a ameaça persistente e crescente de ataques de spyware direcionados, especialmente contra indivíduos em regiões conhecidas pelo ativismo político e social. Embora a Samsung tenha corrigido a vulnerabilidade específica, o incidente serve como um lembrete da importância de manter os dispositivos atualizados e de ter cuidado ao abrir anexos ou links de fontes não confiáveis.
