MADRID, 7 Nov. (CIBERPRO) –
Expertos en ciberseguridad han descubierto un ‘software’ espía conocido como ‘Landfall’ que está diseñado para dispositivos Samsung Galaxy. Este ‘spyware’ fue utilizado en una campaña que se extendió por cerca de un año, aprovechándose de una vulnerabilidad de día cero en estos ‘smartphones’ para sustraer datos sensibles de los usuarios afectados.
Landfall es un ‘spyware’ para Android que se centra específicamente en dispositivos Samsung Galaxy y puede propagarse a través de una imagen maliciosa (en formato DNG) enviada al ‘smartphone’ de la víctima a través de plataformas de mensajería instantánea como WhatsApp.
Al recibir la imagen, el ‘spyware’ compromete el dispositivo para obtener acceso a información personal de la víctima, que incluye fotos, mensajes, contactos, registros de llamadas y la ubicación. Además, puede activar el micrófono del dispositivo.
Así lo han destacado los especialistas de la Unidad 42 de Palo Alto Networks, quienes, tras analizar la actividad de Landfall, informaron que las primeras actividades maliciosas asociadas a este ‘spyware’ fueron detectadas en julio de 2024, con ataques que «posiblemente» no requerían interacción del usuario para iniciar el ‘hackeo’ del dispositivo.
Para ejecutar el ‘spyware’ mediante la imagen manipulada, Landfall aprovechó una vulnerabilidad de día cero en los dispositivos Samsung Galaxy, que era desconocida para la empresa coreana en el momento de su explotación.
Samsung detectó la vulnerabilidad en sus dispositivos Galaxy (CVE-2025-21042) en septiembre de 2024, relacionada con una escritura fuera de límites en ‘libimagecodec.quram.so’, que permitía a atacantes remotos ejecutar código arbitrario. Posteriormente, lanzó una corrección en abril de 2025, aunque se desconocía que la campaña de ‘spyware’ Landfall se aprovechaba de esta vulnerabilidad.
De este modo, hasta que Samsung implementó la corrección, la campaña de ‘spyware’ contra usuarios de estos ‘smartphones’ estuvo activa durante casi un año sin ser detectada. También afectó a usuarios en Oriente Medio, dado que comparte infraestructuras y patrones de técnicas con otras operaciones de ‘software’ espía comercial en la región, lo que sugiere posibles vínculos con actores del sector privado (AOSP), según los investigadores.
Desde Unidad 42 también han indicado que se desconoce quién es el desarrollador del ‘software’ de vigilancia Landfall, así como la cantidad de personas que han sido ‘hackeadas’ por este ‘spyware’.
El principal investigador senior de la Unidad 42, Itay Cohen, ha señalado que la campaña se trataba de un «ataque de precisión» para realizar espionaje. Esto implica que estaba diseñada para dirigirse a usuarios específicos, no para una distribución masiva.
Además, la investigación revela que, de acuerdo con el código fuente del ‘spyware’, estaba orientado principalmente a ‘smartphones’ Galaxy S22, S23, S24 y algunos modelos Z. Sin embargo, también podría haber afectado a otros dispositivos de la marca que operan con versiones de sistema operativo que van desde Android 13 hasta 15.
