MADRID, 7 Nov. (Portaltic/EP) -
Investigadores de ciberseguridad han identificado un 'software' espía denominado 'Landfall' que, dirigido a dispositivos Samsung Galaxy, fue utilizado en una campaña que duró aproximadamente un año y que se aprovechaba de una vulnerabilidad de día cero en estos 'smartphones' para robar información sensible de los usuarios afectados.
Landfall es un 'spyware' para Android diseñado específicamente contra dispositivos Samsung Galaxy, capaz de extenderse a través de una imagen maliciosa (en formato DNG) enviada al 'smartphone' de la víctima mediante una plataforma de mensajería instantánea como WhatsApp.
Una vez recibida, manipula el dispositivo para acceder a datos personales de la víctima, incluyendo fotos, mensajes, contactos, registros de llamadas o la ubicación. Incluso, interviniendo el micrófono del dispositivo.
Así lo detallan los expertos en ciberseguridad de la Unidad 42 de Palo Alto Networks que, tras investigar la actividad de Landfall, han señalado que las primeras incursiones maliciosas relacionadas con el 'spyware' se identificaron en julio del pasado año 2024, con ataques que "posiblemente" no requerían interacción con el usuario o mediante clics para comenzar a 'hackear' el dispositivo.
En concreto, para ejecutar el 'spyware' a través la imagen modificada maliciosamente, Landfall se aprovechaba de una vulnerabilidad de día cero de los dispositivos Samsung Galaxy, es decir, desconocida para la tecnológica coreana en el momento de su explotación.
Samsung identificó la vulnerabilidad en sus dispositivos Galaxy (CVE-2025-21042) en septiembre de 2024, que se basaba en una escritura fuera de límites en 'libimagecodec.quram.so' y que permitía a atacantes remotos ejecutar código arbitrario. Tras ello, lanzó una corrección para solucionarla en abril de este año 2025, pero se ignoraba que la campaña del 'spyware' Landfall se aprovechaba de este fallo.
Por tanto, hasta que Samsung lanzó esta corrección, la campaña de 'spyware' dirigida contra usuarios que utilizaban este tipo de 'smartphones' estuvo activa durante casi un año sin ser detectada. Asimismo, afectó a usuarios de Oriente Medio, dado que comparte infraestructuras y patrones de técnicas con operaciones de 'software' espía comercial en esta región, "lo que indica posibles vínculos con actores ofensivos del sector privado (AOSP)", según los investigadores.
Desde Unidad 42 también han detallado que se desconoce quién ha sido el proveedor que ha desarrollado el 'software' de vigilancia Landfall, así como la cantidad de personas que han sido 'hackeadas' mediante este 'spyware'.
Concretamente, el principal investigador senior de la Unidad 42, Itay Cohen, ha subrayado que la campaña consistía en un "ataque de precisión" para llevar a cabo espionaje. Es decir, que estaba diseñada para dirigirse a algunos usuarios concretos, no para distribuirse de forma general.
Asimismo, la investigación aclara que, en base al código fuente del 'spyware', estaba dirigido a 'smartphones' Galaxy S22, S23, S24 y algunos modelos Z, como principales objetivos. No obstante, también podría haber afectado a otros dispositivos de la marca con las versiones de sistema operativo contempladas entre Android 13 y 15.