El nuevo software espía Landfall utilizó imágenes para hackear teléfonos Samsung Galaxy durante casi un año.

Aranzulla de Los Pobres

¿Qué ha ocurrido? Investigadores de seguridad de Unit 42, de Palo Alto Networks, han descubierto una campaña de spyware para Android llamada Landfall. El malware explotaba una vulnerabilidad de día cero en los teléfonos Samsung Galaxy que podía activarse mediante una imagen maliciosa enviada al teléfono, y parece haber sido utilizado en una campaña de espionaje dirigida.

  • La vulnerabilidad, registrada como CVE-2025-21042, se escondía dentro de la biblioteca de procesamiento de imágenes de Samsung, lo que permitía a los atacantes infectar dispositivos con un único archivo de imagen malicioso.
  • La vulnerabilidad se explotaba sin necesidad de hacer clic, es decir, las víctimas no tenían que abrir ni pulsar nada. La infección podía producirse al recibir una imagen .DNG maliciosa a través de aplicaciones de mensajería como WhatsApp .
  • Samsung solucionó el problema en abril de 2025, pero el software espía ya había estado activo desde julio de 2024, funcionando silenciosamente durante casi un año antes de ser descubierto.
  • La campaña se dirigió principalmente a los modelos Samsung Galaxy S22, S23, S24 y plegables como el Z Fold 4 y el Z Flip 4, con versiones de Android desde la 13 hasta la 15.
Cómo funciona el spyware Landfall en teléfonos Samsung
Unidad 42

Esto es importante porque: aunque Samsung solucionó la vulnerabilidad en abril, las campañas de spyware dirigidas pueden durar meses . Los investigadores lo describen como un ataque de precisión contra personas específicas, más propio de la vigilancia que de un delito masivo.

  • Las víctimas se encontraban principalmente en Oriente Medio y el Norte de África, incluyendo Irán, Irak, Turquía y Marruecos, lo que sugiere motivos geopolíticos o relacionados con estados.
  • El malware se distribuyó a través de una red de servidores vinculados a dominios previamente asociados con el grupo de vigilancia Stealth Falcon, aunque los investigadores no han confirmado exactamente quién está detrás de ello.
  • La Unidad 42 afirma que el diseño y la infraestructura del software espía sugieren que los autores intelectuales de Landfall son proveedores profesionales de vigilancia, y no ciberdelincuentes.
hacker de spyware de aterrizaje
Boitumelo / Unsplash

¿Por qué debería importarme? Para los usuarios comunes, esto demuestra que el software espía moderno no siempre requiere un clic descuidado; incluso recibir el archivo incorrecto podría activar una vulnerabilidad.

  • Una vez instalada, Landfall podía grabar audio, activar la cámara, recopilar mensajes, contactos y registros de llamadas, y rastrear la ubicación en tiempo real.

Bien, ¿y ahora qué? Aunque Samsung lanzó parches para solucionar esta vulnerabilidad, los investigadores advierten que podrían existir otras vulnerabilidades no divulgadas. Si tienes un dispositivo Galaxy de los mencionados anteriormente o usas Android 13-15, esto es lo que puedes hacer:

  • Asegúrate de que tu teléfono Samsung esté completamente actualizado.
  • Evita abrir imágenes o archivos de remitentes desconocidos, incluso en aplicaciones de mensajería comunes como WhatsApp.
  • Esté atento a anomalías: un consumo inesperado de batería, sobrecalentamiento o uso desconocido de datos en segundo plano podrían indicar una vulneración.

Las vulnerabilidades como Landfall son bastante difíciles de detectar antes de que se produzcan. Por eso, los fabricantes de teléfonos están reforzando la seguridad móvil: Apple está ampliando su Modo de Bloqueo y Google está probando la detección de amenazas en tiempo real para usuarios de Android .