LandFall Spyware : La nouvelle menace exploitant une faille zéro-jour Samsung via WhatsApp

Lysandre Beauchêne

LandFall Spyware : La nouvelle menace exploitant une faille zéro-jour Samsung via WhatsApp

Dans un paysage cybermenaçé en constante évolution, une nouvelle menace nommée LandFall a récemment été identifiée comme exploitant une vulnérabilité zéro-jour dans la bibliothèque de traitement d’images Android de Samsung pour déployer un espionnage sophistiqué via des images malveillantes transmises par WhatsApp. Cette attaque ciblée démontre une fois de plus l’ingéniosité croissante des acteurs malveillants et les vulnérabilités persistantes même dans les appareils haut de gamme comme les smartphones Samsung Galaxy.

Selon les chercheurs de Palo Alto Networks’ Unit 42, cette campagne d’espionnage est active depuis au moins juillet 2024 et a visé des utilisateurs de Samsung Galaxy spécifiques dans le Moyen-Orient. La faille, identifiée comme CVE-2025-21042, représente un risque critique pour la sécurité mobile et soulève d’importantes questions sur les pratiques de sécurité des applications de messagerie populaires.

La faille CVE-2025-21042 : un vecteur d’attaque redoutable

La vulnérabilité zéro-jour exploitée par LandFall se trouve dans la bibliothèque de traitement d’images de Samsung, plus précisément dans le fichier libimagecodec.quram.so. Il s’agit d’une vulnérabilité d’écriture hors limites (out-of-bounds write) qui, lorsqu’elle est exploitée avec succès, permet à un attaquant distant d’exécuter du code arbitraire sur l’appareil cible.

Cette faille critique a été corrigée par Samsung en avril 2025, mais les chercheurs ont retrouvé des preuves que l’opération LandFall était déjà en cours bien avant cette date, ce qui suggère une période d’exposition significative pour les utilisateurs potentiels.

Les attaques commencent par la transmission d’une image au format .DNG (Digital Negative) malformée, à laquelle un archive .ZIP est ajoutée à la fin du fichier. Cette technique astucieuse permet au malware de contourner les mécanismes de sécurité standard des applications de messagerie qui ne vérifient pas toujours intégralement le contenu des fichiers multimédias reçus.

Fonctionnalités techniques du spyware LandFall

L’analyse approfondie des échantillons par les chercheurs de l’Unit 42 a révélé que LandFall est probablement un cadre de surveillance commerciale utilisé pour des intrusions ciblées. Les composants techniques intégrés dans les fichiers DNG incluent :

  1. Un chargeur (b.so) capable de récupérer et charger des modules supplémentaires
  2. Un manipulateur de stratégie SELinux (l.so) qui modifie les paramètres de sécurité de l’appareil pour élever les privilèges et établir une persistance

Le malware possède des capacités de fingerprinting avancées, basées sur :

  • L’identification du matériel (IMEI)
  • Les informations de la carte SIM (IMSI, numéro de carte SIM)
  • Le compte utilisateur
  • Les services Bluetooth
  • Les services de localisation
  • La liste des applications installées

En plus de ces capacités de base, LandFall peut exécuter des modules, persister sur l’appareil, éviter la détection et contourner les protections. Parmi les fonctionnalités d’espionnage identifiées :

  • Enregistrement du microphone
  • Enregistrement des appels
  • Suivi de la localisation
  • Accès aux photos, contacts, SMS, journaux d’appels et fichiers
  • Consultation de l’historique de navigation

Ciblage géographique et attribution ambiguë

Les données extraites des échantillons soumis à VirusTotal indiquent que les cibles potentielles se trouvent principalement en Irak, Iran, Turquie et Maroc. Les chercheurs de l’Unit 42 ont réussi à identifier et corréler six serveurs de commandement et de contrôle (C2) associés à la campagne LandFall, dont certains avaient déjà été signalés pour activités malveillantes par le CERT turc.

Les modèles d’enregistrement de domaine et d’infrastructure présentent des similitudes avec ceux observés dans les opérations Stealth Falcon, originaires des Émirats Arabes Unis. Un autre indice significatif est l’utilisation du nom « Bridge Head » pour le composant chargeur, une convention de nommage couramment observée dans les produits de NSO Group, Variston, Cytrox, et Quadream.

Néanmoins, malgré ces indices, il n’a pas été possible d’établir un lien définitif entre LandFall et tout groupe de menaces connu ou fournisseur de spyware commercial. Cette attribution ambiguë rend encore plus difficile la mise en place de contre-mesures précises et ciblées.

Appareils concernés et impact sur les utilisateurs Samsung

Selon l’analyse de l’Unit 42, le spyware LandFall cible spécifiquement les appareils haut de gamme Samsung, notamment :

  • Galaxy S22
  • Galaxy S23
  • Galaxy S24
  • Z Fold 4
  • Z Flip 4

Il est à noter que ces appareils représentent une large gamme des modèles phares récents de Samsung, bien que la dernière série S25 ne semble pas être concernée par cette campagne spécifique. Cette sélection ciblée suggère que les attaquants ont probablement une connaissance précise des caractéristiques techniques de ces appareils et de leurs vulnérabilités spécifiques.

En pratique, un utilisateur moyen aurait du mal à détecter une infection par LandFall, car le malware conçu pour fonctionner en mode furtif, avec des capacités d’évasion avancées qui lui permettent de rester invisible pour la plupart des antivirus traditionnels.

Contexte plus large des exploitations DNG

LandFall et son utilisation des images DNG ne représentent pas un cas isolé, mais s’inscrivent dans une tendance plus large d’exploitation du format DNG observée récemment dans les outils de spyware commerciaux.

Des chaînes d’exploitation similaires ont été identifiées par le passé impliquant le format DNG pour :

  • Apple iOS (avec la faille CVE-2025-43300)
  • WhatsApp (avec la faille CVE-2025-55177)

Samsung a également récemment corrigé la faille CVE-2025-21043, qui affecte également libimagecodec.quram.so, après que des chercheurs en sécurité de WhatsApp l’aient découverte et signalée. Ces incidents successifs soulèvent des questions sur la sécurité globale des formats de fichiers multimédias et leur potentiel d’exploitation malveillante.

Mesures de protection contre les menaces similaires

Face à ces menaces sophistiquées, plusieurs mesures de protection s’imposent pour les utilisateurs d’appareils Android, et particulièrement ceux équipés de smartphones Samsung :

  1. Mettre à jour régulièrement le système d’exploitation et les applications pour bénéficier des derniers correctifs de sécurité
  2. Désactiver le téléchargement automatique des médias dans les applications de messagerie
  3. Activer la protection avancée (Advanced Protection) sur Android
  4. Éviter d’ouvrir des images ou fichiers suspects, surtout provenant d’expéditeurs inconnus
  5. Installer des applications uniquement depuis des sources officielles comme le Google Play Store
  6. Surveiller l’utilisation inhabituelle de l’appareil (batterie qui se décharge rapidement, données consommées anormalement, etc.)

L’ANSSI recommande par ailleurs de rester vigilant face aux demandes d’autorisations excessives des applications et de limiter l’accès aux permissions sensibles comme la localisation ou le microphone.

Recommandations pour les entreprises et organisations

Pour les organisations qui déploient des appareils Samsung Galaxy, il est crucial de mettre en place des stratégies de sécurité renforcées :

  • Mettre en œuvre des solutions de gestion mobile (MDM) pour assurer le déploiement rapide des correctifs de sécurité
  • Établir des politiques strictes concernant les applications autorisées sur les appareils professionnels
  • Former les employés aux risques d’ingénierie sociale et aux signaux d’alerte d’une compromission
  • Surveiller activement le trafic sortant suspect vers des destinations inconnues
  • Considérer l’utilisation de solutions de détection avancée pour les menaces mobiles

En pratique, de nombreuses organisations ont déjà mis en place des programmes de bug bounty pour encourager la divulgation responsable des vulnérabilités, comme l’a fait Samsung avec son programme de récompenses pour chercheurs en sécurité. Cette approche proactive peut contribuer à réduire le temps d’exposition aux failles critiques comme celle-ci.

Tableau comparatif des fonctionnalités LandFall

Capacité techniqueDescriptionNiveau de menace
Exécution de code arbitrairePermet d’exécuter n’importe quel code sur l’appareilCritique
PersistanceAssure la survie du malware après le redémarrage de l’appareilÉlevée
Évasion de détectionTechniques pour éviter la détection par les solutions de sécuritéMoyenne à élevée
Manipulation SELinuxContournement des mécanismes de sécurité intégrés à AndroidÉlevée
Accès microphone/cameraEnregistrement audio et vidéo à distanceÉlevée
Accès données sensiblesContacts, messages, photos, historique de navigationCritique

Évolution future de la menace mobile

À mesure que les smartphones deviennent des cibles de plus en plus privilégiées pour les espions et cybercriminels, nous pouvons nous attendre à voir émerger des techniques d’attaque encore plus sophistiquées. LandFall représente un exemple de la convergence de plusieurs tendances préoccupantes :

  • L’exploitation de vulnérabilités zéro-jour dans les logiciels grand public
  • L’utilisation d’applications de messagerie populaires comme vecteurs d’attaque
  • Le développement de cadres d’espionnage modulaires et évolutifs
  • Le ciblage géographique précis des victimes

Selon les dernières statistiques, les attaques mobiles ont augmenté de 50% en 2025, avec une part significative attribuable aux spywares commerciaux. Cette tendance ne fait que s’accentuer avec la prolifération des appareils connectés et la dépendance croissante aux smartphones pour les communications personnelles et professionnelles.

Dans le contexte français, l’ANSSI a renforcé ses recommandations concernant la sécurité mobile, notamment pour les personnels traitant des informations sensibles. L’agence préconise l’utilisation d’appareils avec des fonctionnalités de sécurité renforcées et des solutions de chiffrement de bout en bout pour communications critiques.

Conclusion : Renforcer la résilience face aux menaces mobiles

La découverte du spyware LandFall et de son exploitation d’une vulnérabilité zéro-jour dans les smartphones Samsung via WhatsApp illustre une fois de plus la nécessité d’une approche proactive de la sécurité mobile. Alors que les menaces continuent d’évoluer en complexité et en sophistication, les utilisateurs et organisations doivent adopter des pratiques de sécurité robustes et rester informés des dernières vulnérabilités.

La vulnérabilité CVE-2025-21042, bien que maintenant corrigée, servira de leçon précieuse pour les fabricants d’appareils, les développeurs d’applications et les chercheurs en sécurité. Dans un écosystème numérique de plus en plus interconnecté, la sécurité mobile n’est plus une option mais une nécessité pour protéger la vie privée, les données sensibles et la sécurité nationale.

Face à la menace persistante représentée par des outils comme LandFall, il est impératif que tous les acteurs de la cybersécurité — des fabricants aux utilisateurs finaux — collaborent pour créer un environnement numérique plus résilient où la protection des communications et des données personnelles reste une priorité absolue.