Palo Alto Networks a publié un rapport détaillant la découverte d’une nouvelle famille de logiciels espions Android baptisée « LANDFALL ». Cette menace exploite une vulnérabilité critique, référencée « CVE-2025-21042 », affectant la bibliothèque « libimagecodec.quram.so » utilisée par les appareils Samsung Galaxy sous Android 13, 14 et 15. La faille permet une écriture hors limites (out-of-bounds write) lors du traitement d’images au format « DNG » (Digital Negative), ouvrant la voie à l’exécution de code arbitraire et à la compromission complète du terminal. Samsung a corrigé la vulnérabilité « CVE-2025-21042 » dans ses correctifs de sécurité d’avril 2025, mais de nombreux appareils restent exposés faute de mise à jour.

Selon les analyses, la campagne « LANDFALL » est active depuis 2024 et cible principalement des utilisateurs situés au Moyen-Orient. L’infection débute lorsqu’une image « DNG » malformée est ouverte sur un appareil vulnérable. Cette image contient un fichier ZIP malicieux. Une fois exploitée, la vulnérabilité permet le déploiement de deux modules principaux : « b.so et l.so ».

Le premier module, « b.so », collecte des informations sur l’appareil, puis établit une communication chiffrée via HTTPS avec des serveurs de commande et contrôle (C2). Le second module, « l.so », se charge de modifier la configuration de « SELinux » afin d’obtenir des privilèges élevés, de maintenir la persistance et de permettre le chargement de modules additionnels. Ensemble, ces composants permettent au logiciel espion de surveiller et d’exfiltrer des données sensibles, notamment des fichiers, des messages, des enregistrements audio et des médias provenant d’applications telles que WhatsApp. Des mécanismes anti-analyse et de nettoyage des traces sont également intégrés pour compliquer la détection.

Le maCERT/DGSSI recommande d’appliquer les mesures préventives ci-dessous et de l’alerter en cas de détection d’une activité relative à cette attaque via « incident@macert.gov.ma ».

Mesures préventives :

• Intégrer les indicateurs de compromission (IOCs) ci-dessous au niveau des moyens de détection.
• S’assurer que tous les terminaux Samsung Galaxy disposent de la dernière version logicielle disponible.
• Désactiver ou restreindre le traitement des fichiers DNG non nécessaires dans les environnements professionnels, particulièrement lorsqu’elles proviennent de sources inconnues.
• Surveiller les connexions HTTP/HTTPS afin de détecter les communications suspectes et les comportements anormaux. 

Indicateurs de compromission (IOCs):

IP adresses: 

Domain Name: 

Hash: 

Composants: 

Références:

• https://unit42.paloaltonetworks.com/landfall-is-new-commercial-grade-android-spyware/

• https://www.bleepingcomputer.com/news/security/new-landfall-spyware-exploited-samsung-zero-day-via-whatsapp-messages/

• https://security.samsungmobile.com/securityUpdate.smsb?year=2025&month=04 

• https://security.samsungmobile.com/securityUpdate.smsb