Spia Android sfrutta una vulnerabilità Samsung: ecco come LANDFALL colpisce via WhatsApp

Spia Android sfrutta una vulnerabilità Samsung: ecco come LANDFALL colpisce via WhatsApp

Riassunto iniziale semplice e comprensibile:
LANDFALL è un nuovo spyware, scoperto durante il 2025, che ha sfruttato una grave vulnerabilità nei dispositivi Samsung Galaxy S22, S23, S24, Z Fold 4 e Z Flip 4 tramite immagini inviate su WhatsApp. Questi attacchi, invisibili e particolarmente insidiosi, hanno colpito utenti in Medio Oriente, permettendo ai criminali informatici di controllare fotocamera, microfono, posizione e rubare file e dati. La falla è stata risolta da Samsung in aprile 2025 e non rappresenta un rischio attuale per chi aggiornerà tempestivamente il proprio dispositivo. Per proteggerti: Aggiorna sempre il sistema operativo e le app, non aprire allegati sospetti, utilizza una soluzione di sicurezza affidabile e, se pensi di essere stato colpito, esegui un ripristino completo del dispositivo.

Come il nuovo spyware LANDFALL ha colpito i Samsung Galaxy tramite WhatsApp

La sicurezza dei dispositivi mobili è sempre più minacciata da attacchi sofisticati che sfruttano vulnerabilità non ancora note ai produttori, i cosiddetti “zero-day”. Nel 2025, ricercatori di Unit 42 (Palo Alto Networks) hanno identificato una nuova famiglia di spyware chiamata LANDFALL: una minaccia commerciale, utilizzata principalmente per bersagliare dispositivi Samsung Galaxy, che ha agito in maniera silenziosa e mirata[1][3][4][6].

Cos’è LANDFALL e quali dispositivi sono stati colpiti

LANDFALL è uno spyware di livello commerciale progettato specificatamente per attaccare i telefoni Samsung Galaxy S22, S23, S24, Z Fold 4 e Z Flip 4. Gli attacchi si sono concentrati soprattutto in Medio Oriente, con evidenze di colpi su bersagli in Iran, Iraq, Marocco e Turchia. Secondo i ricercatori, questa campagna è rimasta attiva e inosservata almeno dalla metà del 2024 fino alla patch di aprile 2025[1][3][4][6].

A rendere LANDFALL particolarmente insidioso è la sua capacità di infiltrarsi attraverso immagini manipolate nel formato DNG, inviate tramite WhatsApp. Una volta attivo, lo spyware permette una sorveglianza a 360 gradi: può attivare il microfono, monitorare la posizione GPS, accedere alle foto, ai contatti, agli SMS e persino ai log delle chiamate[4].

Meccanismo di attacco: vulnerabilità zero-day e la via WhatsApp

Il punto critico dell’attacco è stato lo sfruttamento di una vulnerabilità (CVE-2025-21042) nella libreria di elaborazione immagini di Android per dispositivi Samsung. La falla consentiva agli hacker di eseguire codice malevolo semplicemente inviando una immagine DNG “manipolata” via WhatsApp. L’attacco era di tipo “zero-click”: la vittima non doveva compiere alcuna azione, perché bastava ricevere il file per permettere allo spyware di infettare il dispositivo[1][3][4][6].

Questa modalità di veicolazione ricorda simili campagne di attacco contro dispositivi iOS, che sfruttavano vulnerabilità nel framework di gestione delle immagini (Image I/O). In tutti i casi, l’obiettivo è massimizzare il numero di device infettati col minimo sforzo e visibilità da parte dell’utente[2].

In particolare, i ricercatori hanno rintracciato file con nomi riconducibili a immagini WhatsApp, conservati nei dispositivi bersaglio e caricati su VirusTotal nei mesi tra luglio 2024 e febbraio 2025. Durante questo intervallo, il malware non ha subito modifiche significative, segno che la vulnerabilità era stabile e funzionante[4].

Chi c’è dietro LANDFALL e quali sono i rischi concreti?

Secondo Unit 42, la campagna LANDFALL presenta caratteristiche tipiche delle offensive private commerciali, dette anche PSOA (Private-Sector Offensive Actors). La struttura, l’infrastruttura e la modalità di attacco la rendono simile ad altri spyware venduti in Medio Oriente e utilizzati in operazioni di sorveglianza ad alto rischio[1][3][6].

I rischi principali sono legati alla completezza delle informazioni che LANDFALL può acquisire: oltre a posizione, conversazioni, immagini e documenti, lo spyware può potenzialmente utilizzare la fotocamera e il microfono per intercettare ambienti e comportamenti in tempo reale.

WhatsApp: vulnerabilità e controrisposte

È importante sottolineare che, secondo le indagini, WhatsApp non era direttamente vulnerabile o responsabile della falla, ma semplicemente il mezzo di trasmissione prescelto dagli attaccanti. WhatsApp ha comunque lavorato per chiudere proprie vulnerabilità coinvolte in precedenti campagne di spyware, come nel caso della CVE-2025-55177, offrendo aggiornamenti rapidi e notificando agli utenti colpiti la possibilità di ripristinare completamente il proprio dispositivo per sicurezza[2][7].

Il concetto di “zero-click” rimane il più temuto: non occorrono azioni dell’utente, ma solo la ricezione del file malevolo per portare a compimento l’attacco. In scenari del genere, solo una rapida risposta dei produttori e l’attenzione dell’utente permettono di arginare il problema[2][5].

Patch, risoluzione e stato attuale

Samsung ha corretto la falla zero-day (CVE-2025-21042) in aprile 2025[1][4]. Poco dopo, in settembre, è stata identificata e risolta un’altra vulnerabilità simile (CVE-2025-21043) sempre nella libreria di elaborazione immagini dei Galaxy. Al momento, chi possiede dispositivi aggiornati non è più a rischio da LANDFALL tramite questa specifica modalità di attacco.

Le vittime prioritarie erano utenti ad alto rischio in Medio Oriente, spesso coinvolti in questioni politiche o giornalistiche. I toolkit di LANDFALL restano una minaccia commerciale: l’evoluzione degli spyware privati è progressiva e costante e impone una difesa continua sia da parte dei produttori che degli utenti.

Consigli di sicurezza rapida

Per ridurre il rischio di infezioni da spyware avanzato come LANDFALL, è fondamentale seguire alcune semplici regole:

  • Aggiorna il sistema operativo e tutte le app appena disponibili gli update
  • Non aprire allegati da fonti sconosciute, soprattutto se strani o inattesi
  • Installa e configura una soluzione di sicurezza affidabile
  • Controlla frequentemente le impostazioni privacy e autorizzazioni delle app
  • In caso di sospetto o avviso ufficiale, esegui un ripristino totale del dispositivo

La risposta del settore e l’evoluzione delle minacce

La scoperta di LANDFALL testimonia il livello crescente di complessità degli attacchi spyware su dispositivi mobili. Fino a pochi anni fa, le infezioni richiedevano quasi sempre l’interazione, oggi bastano pochi secondi e un file immagine per compromettere privacy e sicurezza.

Le aziende come Samsung e WhatsApp stanno potenziando i controlli e offrendo aggiornamenti frequenti. Gli strumenti di sicurezza basati su intelligenza artificiale (come quelli forniti da Unit 42 e altri vendor) aiutano a individuare tempestivamente flussi anomali, ma resta fondamentale anche il ruolo dell’utente finale.

I ricercatori hanno sottolineato come il panorama degli spyware commerciali sia difficile da tracciare: spesso le campagne restano invisibili per mesi o anni, con danni potenzialmente enormi. LANDFALL rientra tra questi casi, con capacità di controllo esteso su dati e hardware.

Come riconoscere un dispositivo compromesso

Segnali di possibile infezione includono:

  • Consumi batteria anomali
  • App sconosciute apparse improvvisamente
  • Rallentamenti e crash ricorrenti
  • Messaggi insoliti o file fuori contesto nella cronologia WhatsApp
  • Microfono o fotocamera che si attivano senza motivo

Focus su dispositivi Android e su WhatsApp

Android, con la sua diffusione capillare, rimane la piattaforma più bersagliata da spyware e attacchi zero-day. WhatsApp viene spesso usata come canale di trasmissione grazie all’enorme base di utenti e all’integrazione con il sistema operativo e il gestore immagini.

La collaborazione tra vendor, laboratori di sicurezza, enti e ricercatori è il vero argine all’escalation di campagne come questa. La tempestività nella disclosure delle vulnerabilità (come fatto da Unit 42 per il caso LANDFALL) è oggi fondamentale.

Best practice e consigli avanzati per proteggere i tuoi dispositivi

In conclusione, la sicurezza dei dispositivi mobili è oggi una priorità quotidiana e obbliga a una postura proattiva. Per tutelarsi da attacchi come LANDFALL:

  • Aggiorna sempre all’ultima versione del sistema operativo, incluso firmware e patch di sicurezza.
  • Esegui backup regolari: se sei vittima di infezione, avrai la possibilità di ripristinare dati e sistema.
  • Monitora il traffico dati e le autorizzazioni app: ogni variazione anomala va controllata.
  • Attiva la verifica in due passaggi su tutte le app di messaggistica e account collegati.
  • Scegli un antivirus avanzato per Android e segui i suggerimenti di vendor riconosciuti.
  • In caso di device compromesso, effettua un ripristino completo (factory reset) e non recuperare app o backup sospetti.
  • Consulta periodicamente le fonti ufficiali (siti di Samsung, WhatsApp, vendor di sicurezza) per novità e avvisi.

La rapidità di risposta e l’aggiornamento costante sono le prime difese contro spyware e cyber-minacce. Gli attacchi zero-day, sebbene possano diffondersi estremamente in fretta, vengono neutralizzati solo combinando attenzione individuale e intervento tempestivo dei produttori software.

Investi nella tua sicurezza digitale: aggiorna, monitora e proteggi i tuoi dispositivi, specie Android di fascia alta come i Galaxy. Il rischio può essere ridotto con pochi, semplici accorgimenti quotidiani.

Fonte: https://cybersecuritynews.com/samsung-0-day-exploited-via-whatsapp

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto