- La vulnerabilidad CVE-2025-21042 permitía la ejecución remota de código en varios dispositivos Samsung Galaxy.
- Los atacantes utilizaron WhatsApp para distribuir el spyware LandFall a través de archivos de imagen malformados.
- Las víctimas eran personas de Oriente Medio; se sospecha que el grupo Stealth Falcon está detrás de la campaña.
Varias series de dispositivos Samsung Galaxy eran vulnerables a un fallo que permitía a los atacantes ejecutar código malicioso de forma remota, según han advertido los expertos.
Para empeorar las cosas, los investigadores afirman que el fallo se utilizó como un zero-day para atacar a determinadas personas en Oriente Medio con spyware y programas de robo de información.
El error, identificado como CVE-2025-21042 con un índice de gravedad de 9,8/10 (crítico), se describe como una vulnerabilidad de escritura fuera de límites, encontrada en libimagecodec.quram.so antes de la versión SMR Apr-2025 Release 1. Libimagecodec.quram.so es un archivo de biblioteca compartida que forma parte del marco de procesamiento de imágenes de los dispositivos Android de Samsung.
Robar archivos y grabar audio
Según los investigadores de seguridad de la Unidad 42 de Palo Alto Network, el error fue utilizado por una entidad maliciosa para desplegar el spyware «LandFall».
El ataque consiste en colocar un archivo de imagen sin procesar .DNG malformado, con un archivo .ZIP adjunto al final del archivo. El vector de ataque parece haber sido WhatsApp, a través del cual se compartió el archivo.
Después de ser desplegado y ejecutado, LandFall toma las huellas digitales del dispositivo en el que se encuentra y analiza todas las aplicaciones instaladas.
Sus principales capacidades incluyen la grabación a través del micrófono, la grabación de llamadas, el rastreo de la ubicación, el acceso a los contactos, los mensajes SMS, los registros de llamadas, los archivos y las fotos, y el acceso al historial del navegador. También es bastante capaz de evitar ser detectado y mantener la persistencia en los dispositivos comprometidos.
Se dice que varios teléfonos de la serie Galaxy son vulnerables: S22, S23 y S24, así como Z Fold 4 y Z Flip 4. Al parecer, los dispositivos insignia más recientes de Samsung son seguros.
Las víctimas parecen estar ubicadas en Irak, Irán, Turquía y Marruecos, mientras que los atacantes son muy probablemente un grupo llamado Stealth Falcon, ubicado en los Emiratos Árabes Unidos (EAU). Los investigadores llegaron a esta conclusión tras analizar la infraestructura C2 de LandFall. Palo Alto insta a los usuarios de Samsung a mantener sus dispositivos actualizados y a prestar atención a los mensajes entrantes, especialmente a aquellos que contengan archivos adjuntos de cualquier tipo.
A trav[es de BleepingComputer
Sigue a TechRadar en Google News y añádenos como fuente preferida para recibir nuestras noticias, reseñas y opiniones de expertos en tus feeds. ¡Asegúrate de hacer clic en el botón "Seguir"!
Y, por supuesto, también puedes seguir a TechRadar en TikTok para recibir noticias, reseñas y unboxings en formato de vídeo, así como actualizaciones periódicas a través de WhatsApp.