Pesquisadores da Palo Alto Networks Unit 42 identificaram um software espião para Android, batizado de Landfall, que explorou uma vulnerabilidade desconhecida em aparelhos Samsung Galaxy durante uma campanha de ataques que se estendeu por quase um ano.
A ameaça foi detectada pela primeira vez em julho de 2024. De acordo com a equipe, o spyware se apoiava na falha CVE-2025-21042, então inédita para a fabricante — característica que classifica o problema como um zero-day. O ataque ocorria após o envio de uma imagem maliciosa ao dispositivo da vítima, possivelmente via aplicativos de mensagens, sem exigir qualquer ação do usuário.
A Samsung corrigiu a vulnerabilidade em abril de 2025, mas até agora não havia informações públicas sobre o uso do erro de segurança em ataques reais. A empresa não respondeu aos pedidos de comentário.
Alcance e alvos da campanha
Segundo o pesquisador sênior Itay Cohen, a operação foi “cirúrgica”, focada em indivíduos específicos — indício de espionagem e não de distribuição em massa. A Unit 42 aponta que as investidas, muito provavelmente, miraram alvos no Oriente Médio.
A análise identificou que a infraestrutura digital do Landfall se sobrepõe a domínios associados ao fornecedor de vigilância Stealth Falcon, ligado a ataques contra jornalistas e ativistas dos Emirados Árabes Unidos desde 2012. No entanto, os especialistas afirmam que as semelhanças ainda não permitem atribuir a autoria a um governo em particular.
A plataforma VirusTotal recebeu amostras do spyware enviadas por usuários de Marrocos, Irã, Iraque e Turquia entre 2024 e o início de 2025. O time nacional de resposta a incidentes da Turquia (USOM) classificou um dos endereços IP usados pela ferramenta como malicioso, reforçando a suspeita de que cidadãos turcos também tenham sido alvo.
Imagem: Internet
Capacidades de espionagem
O Landfall possui recursos típicos de softwares de vigilância usados por governos: acesso a fotos, mensagens, contatos, registros de chamadas, gravação de áudio pelo microfone e rastreamento de localização em tempo real.
O código-fonte faz referência a cinco modelos específicos da linha Galaxy — S22, S23, S24 e alguns dobráveis da série Z — mas Cohen afirma que a falha pode afetar outros dispositivos rodando Android 13, 14 e 15.
Investigadores continuam analisando o malware para identificar a origem e o real alcance da campanha.
Com informações de TechCrunch
