Pesquisadores da Unit 42, divisão de cibersegurança da Palo Alto Networks, expuseram uma operação de espionagem que comprometeu aparelhos da linha Samsung Galaxy durante quase um ano. O grupo de hackers explorou uma vulnerabilidade desconhecida no Android da fabricante sul-coreana, classificada como falha zero-day e registrada como CVE-2025-21042.
Identificado em julho de 2024, o spyware — batizado de Landfall — disparava a infecção por meio do envio de uma imagem maliciosa, geralmente compartilhada em aplicativos de mensagens. O arquivo era suficiente para abrir caminho para o invasor, dispensando qualquer ação do usuário.
Alvos e alcance da campanha
De acordo com o relatório, o ataque foi direcionado a um número limitado de pessoas, com foco em países do Oriente Médio, como Marrocos, Irã, Iraque e Turquia. Um dos endereços IP associados ao malware chegou a ser rotulado como malicioso pela Equipe Nacional de Resposta Cibernética da Turquia (USOM), reforçando a presença de vítimas turcas na lista.
Modelos afetados e correção
A análise de código revelou menções específicas aos modelos Galaxy S22, S23, S24 e a alguns dispositivos da série Z. Especialistas, contudo, acreditam que outros aparelhos rodando Android 13, 14 e 15 também podem ter sido comprometidos. A Samsung liberou a correção para a falha em abril de 2025.
Capacidades de espionagem
Uma vez instalado, o Landfall tinha ampla permissão de acesso, podendo coletar fotos, mensagens, contatos e registros de chamadas, além de acionar o microfone e rastrear a localização da vítima.
Imagem: Thassius Veloso
Possível ligação a grupo conhecido
Os pesquisadores notaram semelhanças entre a infraestrutura usada pelo Landfall e a empregada pelo grupo Stealth Falcon, associado a ataques contra jornalistas e ativistas nos Emirados Árabes Unidos. Apesar da coincidência, não há provas suficientes para atribuir a campanha a um governo ou fornecedor específico de ferramentas de vigilância.
Segundo o pesquisador sênior Itay Cohen, o caso caracterizou um “ataque de precisão contra indivíduos determinados”, diferindo de campanhas de malware em larga escala.
Com informações de Tecnoblog
