Landfall, le nouveau logiciel espion capable d'infecter les Samsung Galaxy à partir d'une simple image reçue

Des chercheurs d'Unit 42, l'équipe de Threat Intelligence (renseignement sur les menaces) et de Réponse aux Incidents de Palo Alto Networks, ont découvert "Landfall", un nouveau logiciel espion. Il ciblait les téléphones Samsung Galaxy récents et exploitait une faille jusqu'alors inconnue dans le traitement des images. Une simple photo piégée pouvait suffire à infecter un smartphone, sans que l'utilisateur ait besoin de cliquer. 

La vulnérabilité a été corrigée

La vulnérabilité, identifiée sous le numéro CVE-2025-21042, a été corrigée par Samsung en avril 2025. Les téléphones à jour ne sont donc plus vulnérables.

Le coeur de l'attaque repose sur un format de photo appelé "Digital Negative" (DNG), utilisé par les photographes pour conserver une image "brute", ni retouchée ni compressée. Les chercheurs ont découvert que les hackers avaient réussi à cacher du code malveillant à l'intérieur d'un fichier DNG. 

Une attaque zero-click

Le fonctionnement du logiciel est le suivant : lorsqu'un téléphone Samsung essayait de lire cette image, un bug dans la bibliothèque interne du système permettait d'exécuter ce code caché. L'appareil se faisait donc infecté juste en traitant l'image. Une fois installé, Landfall était capable d'activer le micro, écouter les appels, accéder aux photos ou encore copier les fichiers. 

Les fichiers repérés par les experts portaient des noms intégrant "WhatsApp". Ce qui laisse penser qu'ils pouvaient être envoyés via cette messagerie, mais rien ne le prouve, précisent-ils. En effet, le nom du fichier ne garantit pas le canal de diffusion. Autrement dit, tout service capable d'ouvrir une image DNG pourrait être concerné. 

Une campagne active pendant plusieurs mois

Cette attaque aurait surtout visé des utilisateurs situés au Moyen-Orient et en Afrique du Nord. Les échantillons de fichiers retrouvés remontent à mi-2024, ce qui signifie que la campagne est restée active plusieurs mois avant d'être découverte. Le nombre de téléphones infectés n'est pas connu, d'après Palo Alto Networks. 

Les experts en cybersécurité estiment que Landfall est un spyware "commercial grade", soit un outil de surveillance conçu par des acteurs professionnels.