Spyware Landfall colpisce i dispositivi Samsung Galaxy: ecco cosa sappiamo

Un nuovo capitolo nell’evoluzione delle minacce informatiche prende forma con la scoperta di LANDFALL, uno spyware avanzato che sta colpendo i dispositivi Samsung Galaxy sfruttando vulnerabilità sofisticate e tecniche di attacco invisibili. Secondo le recenti indagini di Unit 42 di Palo Alto Networks, ci troviamo di fronte a uno scenario allarmante in cui il rischio di controllo totale telefono diventa concreto e silenzioso, mettendo in discussione la sicurezza di milioni di utenti.

L’aspetto più inquietante di questa nuova minaccia è la sua capacità di sfruttare una zero day denominata CVE 2025 21042, che risiede all’interno della libreria elaborazione immagini di Android. Questo punto debole, non noto precedentemente ai produttori e agli utenti, è stato utilizzato da attori malevoli per orchestrare un attacco zero click estremamente sofisticato. In pratica, i criminali informatici hanno inviato file immagine DNG manipolati tramite WhatsApp, senza richiedere alcuna interazione da parte della vittima: basta ricevere il file per attivare l’infezione.

Questa modalità di attacco rappresenta un’evoluzione significativa rispetto ai tradizionali vettori, perché supera le difese basate sulla consapevolezza e sulla prudenza dell’utente. Una volta installato, LANDFALL si trasforma in uno strumento di sorveglianza avanzato: può attivare il microfono per registrare conversazioni, tracciare la posizione geografica, accedere alle foto personali, ai contatti e ai registri delle chiamate, portando la compromissione della privacy a livelli mai visti prima. Il vero pericolo, quindi, non è solo l’infezione, ma la possibilità di un controllo totale telefono da remoto, senza che l’utente se ne accorga.

Le indagini hanno permesso di individuare una precisa geolocalizzazione degli attacchi: il focus principale è stato il Medio Oriente, con casi documentati in Iraq, Iran, Turchia e Marocco. Le infrastrutture e le tecniche impiegate fanno pensare a operatori altamente specializzati e ben finanziati, probabilmente collegati a fornitori di spyware commerciali che operano su scala internazionale.

Particolarmente preoccupante è la scelta di WhatsApp come canale di distribuzione: la popolarità dell’app, combinata con la fiducia che gli utenti ripongono nei file multimediali ricevuti tramite questa piattaforma, ha permesso a LANDFALL di diffondersi rapidamente e in modo silenzioso. L’apparente innocuità dei file immagine ha abbassato le difese, aumentando esponenzialmente il rischio di infezione anche tra gli utenti più attenti.

Questo episodio si inserisce in una tendenza in crescita: sempre più spesso, gli attacchi mirano alle libreria elaborazione immagini degli smartphone, componenti fondamentali che gestiscono i contenuti visivi e che, se compromessi, possono diventare una porta d’accesso privilegiata per gli attori malevoli. I ricercatori sottolineano come la complessità di questi moduli renda difficile l’individuazione tempestiva delle vulnerabilità, aumentando la finestra di esposizione delle potenziali vittime.

Nonostante la gravità della situazione, Samsung Galaxy ha reagito rilasciando un aggiornamento sicurezza nel mese di aprile 2025, che risolve la vulnerabilità CVE 2025 21042. Tuttavia, l’attacco era attivo già dalla metà del 2024, lasciando una pericolosa finestra temporale in cui numerosi dispositivi sono rimasti indifesi. Questo ritardo nella risposta evidenzia quanto sia fondamentale per produttori, ricercatori di sicurezza e piattaforme di messaggistica rafforzare la collaborazione e accelerare i processi di identificazione e risoluzione delle falle di sicurezza.

Per gli utenti, la lezione è chiara: è essenziale installare tempestivamente ogni aggiornamento sicurezza rilasciato dai produttori, anche quando proviene da canali apparentemente affidabili come WhatsApp. Non bisogna mai abbassare la guardia nei confronti dei file ricevuti, nemmeno da contatti conosciuti, e valutare l’adozione di soluzioni di sicurezza avanzate in grado di rilevare comportamenti anomali sui propri dispositivi.

La minaccia rappresentata da LANDFALL e dagli attacchi zero day come CVE 2025 21042 dimostra come il panorama della sicurezza mobile sia in costante evoluzione. Solo una vigilanza attiva, unita a una rapida risposta dei produttori e a una maggiore consapevolezza degli utenti, può limitare i danni e difendere la privacy in un’epoca in cui lo spyware diventa sempre più sofisticato e invisibile.