Des chercheurs en sécurité ont découvert un logiciel espion Android qui ciblait les téléphones Samsung Galaxy au cours d’une campagne de piratage qui a duré près d’un an.
Les chercheurs de l’unité 42 de Palo Alto Networks ont déclaré que le logiciel espion, qu’ils appellent « Landfall », a été détecté pour la première fois en juillet 2024 et reposait sur l’exploitation d’une faille de sécurité dans le logiciel du téléphone Galaxy qui était inconnue de Samsung à l’époque, un type de vulnérabilité connue sous le nom de « jour zéro ».
L’unité 42 a déclaré que la faille pourrait être exploitée en envoyant une image malveillante sur le téléphone d’une victime, probablement transmise via une application de messagerie, et que les attaques n’auraient peut-être nécessité aucune interaction de la part de la victime.
Samsung a corrigé la faille de sécurité – identifiée comme CVE-2025-21042 – en avril 2025, mais les détails de la campagne de logiciels espions abusant de la faille n’ont pas été rapportés auparavant.
Les chercheurs ont déclaré qu’on ne sait pas quel fournisseur de surveillance a développé le logiciel espion Landfall, ni combien de personnes ont été ciblées dans le cadre de la campagne. Mais les chercheurs ont déclaré que les attaques visaient probablement des individus au Moyen-Orient.
Itay Cohen, chercheur principal à l’Unité 42, a déclaré à TechCrunch que la campagne de piratage consistait en une « attaque de précision » contre des individus spécifiques et non en un malware distribué en masse, ce qui indique que les attaques étaient probablement motivées par l’espionnage.
L’unité 42 a découvert que le logiciel espion Landfall partage une infrastructure numérique superposée utilisée par un fournisseur de surveillance connu appelé Stealth Falcon, qui a déjà été observé dans des attaques de logiciels espions contre des journalistes, des militants et des dissidents émiratis dès 2012. Mais les chercheurs ont déclaré que les liens avec Stealth Falcon, bien qu’intrigants, n’étaient pas suffisants pour attribuer clairement les attaques à un client gouvernemental particulier.
L’unité 42 a déclaré que les échantillons de logiciels espions Landfall qu’ils ont découverts avaient été téléchargés sur VirusTotal, un service d’analyse de logiciels malveillants, par des individus au Maroc, en Iran, en Irak et en Turquie tout au long de 2024 et début 2025.
L’équipe nationale turque de préparation à la cybersécurité, connue sous le nom d’USOM, a signalé comme malveillante l’une des adresses IP auxquelles le logiciel espion Landfall s’est connecté, ce qui, selon l’unité 42, conforte la théorie selon laquelle des individus en Turquie pourraient avoir été ciblés.
Tout comme d’autres logiciels espions gouvernementaux, Landfall est capable d’effectuer une surveillance étendue des appareils, comme l’accès aux données de la victime, notamment les photos, les messages, les contacts et les journaux d’appels, ainsi que l’écoute du microphone de l’appareil et le suivi de sa position précise.
L’unité 42 a découvert que le code source du logiciel espion faisait référence à cinq téléphones Galaxy spécifiques, dont les Galaxy S22, S23, S24 et certains modèles Z, comme cibles. Cohen a déclaré que la vulnérabilité pouvait également être présente sur d’autres appareils Galaxy et affecter les versions 13 à 15 d’Android.
Samsung n’a pas répondu à une demande de commentaire.
