LandFall : le spyware qui exploite une vulnérabilité zero-day de Samsung via WhatsApp

Hippolyte Valdegré

LandFall : le spyware qui exploite une vulnérabilité zero-day de Samsung via WhatsApp

Dans un paysage cybermenaçé en constante évolution, une nouvelle menace inquiète les experts en sécurité : le spyware LandFall. Ce malware sophistiqué a récemment été découvert après avoir exploité une vulnérabilité zero-day dans la bibliothèque de traitement d’images Android de Samsung, permettant aux attaquants de déployer leur surveillance via des images malveillantes envoyées par WhatsApp. Cette attaque démontre une fois de plus l’ingéniosité croissante des acteurs malveillants et les risques persistents pour les utilisateurs d’appareils haut de gamme.

Découverte et impact du spyware LandFall

Le spyware LandFall représente une avancée notable dans l’arsenal des outils de surveillance commerciale. Selon les chercheurs de Palo Alto Networks’ Unit 42, cette campagne active depuis juillet 2024 a délibérément ciblé des utilisateurs de Samsung Galaxy dans le Moyen-Orient, notamment en Iraq, Iran, Turquie et Maroc. L’exploitation se fait via une vulnérabilité critique (CVE-2025-21042) dans la librairie libimagecodec.quram.so, qui permet l’exécution de code arbitraire sur l’appareil victime.

“Dans la pratique, nous avons observé que les attaquants ont réussi à contourner les défenses natives d’Android en exploitant une faille dans le traitement des images, ce qui leur permet d’accéder à des fonctionnalités de surveillance très intrusives”, explique un analyste de l’Unit 42.

Caractéristiques techniques du malware

LandFall se distingue par son architecture modulaire et sa capacité à s’adapter aux environnements Android. Le spyware est livré à travers des fichiers image au format DNG (Digital Negative) qui contiennent un archive ZIP intégrée. Une fois l’image ouverte, deux composants principaux sont déployés :

  • Un chargeur (b.so) capable de récupérer et charger des modules supplémentaires
  • Un manipulateur de politique SELinux (l.so) modifiant les paramètres de sécurité pour élévation de privilèges

Cette approche modulaire permet aux attaquants de personnaliser les capacités du malware en fonction de leurs objectifs spécifiques, une caractéristique typique des frameworks de surveillance commerciale.

La faille technique : CVE-2025-21042

La vulnérabilité zero-day exploitée par LandFall, identifiée sous la référence CVE-2025-21042, correspond à une écriture hors limites (out-of-bounds write) dans la librairie de traitement d’images de Samsung. Cette faille critique permet à un attaquant distant d’exécuter du code arbitraire sur l’appareil cible simplement en lui faisant visualiser une image spécifiquement conçue.

Origine et correction de la faille

Samsung a corrigé cette vulnérabilité en avril 2025, plusieurs mois après le début de l’exploitation par LandFall. Le retard entre la découverte de l’exploitation et la publication du correctif a permis aux attaquants d’avoir une fenêtre d’opportunité significative pour cibler les utilisateurs non patchés.

Tableau : Séquence temporelle de l’exploitation de CVE-2025-21042

PériodeÉvénementImpact
Juillet 2024Premières activités de LandFall détectéesDébut des infections ciblées
Avril 2025Publication du correctif par SamsungFin de l’exploitation via la faille
Novembre 2025Rapport d’analyse détailléeCompréhension complète de la menace

Contexte des vulnérabilités similaires

LandFall et son utilisation du format DNG ne sont pas un cas isolé. Les chercheurs ont identifié plusieurs précédents d’exploitation de formats multimédias pour livrer des spywares :

  • Une vulnérabilité dans le format DNG pour iOS (CVE-2025-43300)
  • Une faille dans WhatsApp (CVE-2025-55177)
  • Une autre vulnérabilité dans libimagecodec.quram.so découverte par WhatsApp (CVE-2025-21043)

Ces cas illustrent une tendance préoccupante où les attaquants explorent les failles dans les codecs multimédias populaires pour contourner les défenses traditionnelles.

Mécanisme d’infection : images malveillantes et exploitation de WhatsApp

L’un des aspects les plus inquiétants de la campagne LandFall est son utilisation de WhatsApp comme vecteur de distribution. Les attaquants ont envoyé des images malveillantes au format DNG via cette application de messagerie, exploitant la confiance que les utilisateurs accordent aux échanges multimédias.

Technique d’intégration du malware

Les fichiers DNG utilisés dans cette campagne contiennent une archive ZIP intégrée vers la fin du fichier. Cette technique de stéganographie numérique permet de dissimuler le malware dans un support apparemment inoffensif. Lorsque l’utilisateur ouvre l’image dans la galerie ou une application de visualisation, le code malveillant s’exécute silencieusement.

Exemple concret :

Dans la pratique, un utilisateur recevrait une image via WhatsApp, l’ouvrirait simplement pour la visualiser, et déclencherait ainsi l’installation du spyware. Le processus ne nécessite aucune interaction supplémentaire, ce qui rend l’attaque particulièrement difficile à détecter pour les utilisateurs non avertis.

Processus d’installation et d’évasion

Une fois l’image ouverte, LandFall déclenche un processus d’installation en plusieurs étapes :

  1. Exploitation de la vulnérabilité pour exécution de code
  2. Téléchargement des composants principaux (chargeur et manipulateur SELinux)
  3. Élévation des privilèges et modification des politiques de sécurité
  4. Installation persistante et activation des fonctionnalités de surveillance

Le spyware intègre également plusieurs mécanismes d’évasion de détection :

  • Chiffrement des communications avec les serveurs C2
  • Obfuscation du code malveillant
  • Techniques anti-analyse pour éviter les environnements sandbox
  • Désactivation ou contournement des applications de sécurité

Capacités de surveillance du spyware LandFall

LandFall n’est pas un spyware basique ; il offre une gamme complète de fonctionnalités de surveillance, le classant clairement parmi les outils de surveillance commerciale sophistiqués. Les chercheurs d’Unit 42 ont identifié plusieurs catégories de capacités.

Collecte d’informations et fingerprinting

Le spyware collecte systématiquement des informations détaillées sur l’appareil et son utilisateur :

  • Identifiants matériels (IMEI, IMSI)
  • Informations de la carte SIM (numéro, opérateur)
  • Comptes utilisateur associés
  • Appareils Bluetooth détectés
  • Services de localisation activés
  • Liste des applications installées

Cette collecte exhaustive permet aux attaquants de créer un profil détaillé de la victime et d’adapter leurs actions en conséquence.

Fonctionnalités de surveillance active

LandFall intègre plusieurs modules de surveillance actifs :

1. **Enregistrement audio** : activation discrète du microphone pour capturer les conversations environnementales
2. **Surveillance des communications** : enregistrement des appels téléphoniques et des messages SMS
3. **Suivi de localisation** : traçage continu de la position de l'appareil
4. **Accès aux données sensibles** : photos, contacts, historique d'appels, fichiers stockés
5. **Surveillance du navigateur** : accès à l'historique web et aux données de navigation

Techniques de persistance et d’évolution

Pour garantir sa présence continue sur l’appareil infecté, LandFall met en œuvre plusieurs techniques de persistance :

  • Modification des politiques SELinux pour contourner les restrictions de sécurité
  • Installation en tant que service système démarrant au démarrage de l’appareil
  • Mécanismes de résistance aux tentatives de désinstallation
  • Capacité à se mettre à jour dynamiquement depuis les serveurs C2

Ces fonctionnalités, combinées à sa capacité à évoluer, font de LandFall une menace particulièrement persistante et difficile à éradiquer.

Analyse des cibles et des attaquants potentiels

L’étude détaillée de la campagne LandFall révèle des informations précieuses sur les motivations et les capacités des attaquants, ainsi que sur les profils des victimes ciblées.

Appareils Samsung affectés

LandFall cible spécifiquement les modèles haut de gamme de Samsung Galaxy :

  • Série Galaxy S22 (S22, S22+, S22 Ultra)
  • Série Galaxy S23 (S23, S23+, S23 Ultra)
  • Série Galaxy S24 (S24, S24+, S24 Ultra)
  • Foldable Z Fold 4
  • Foldable Z Flip 4

Notamment, les appareils récemment lancés comme la série S25 ne sont pas affectés, ce qui suggère que les attaquants se concentrent sur les modèles largement déployés au moment de la conception de l’attaque.

Profil géographique des victimes

Les données collectées par les chercheurs indiquent une concentration des cibles dans le Moyen-Orient et l’Afrique du Nord :

  • Iraq
  • Iran
  • Turquie
  • Maroc

Cette géographie ciblée suggère des motivations politiques ou géopolitiques derrière l’opération, bien que cela ne soit pas confirmé formellement.

Attribution incertaine mais indices révélateurs

Malgré les efforts des chercheurs, l’attribution précise de LandFall à un groupe ou État spécifique reste incertaine. Cependant, plusieurs indices permettent d’établir des pistes :

  • Les modèles d’infrastructure des serveurs C2 présentent des similitudes avec les opérations de Stealth Falcon, un groupe connu pour être lié aux Émirats Arabes Unis
  • Le nom “Bridge Head” utilisé pour le composant chargeur correspond à une convention de nommage couramment observée dans les produits de plusieurs vendeurs de spywares commerciaux (NSO Group, Variston, Cytrox, Quadream)
  • Les techniques d’exploitation et les fonctionnalités de surveillance sont similaires à celles observées dans d’autres frameworks commerciaux

Ces indices suggèrent fortement que LandFall pourrait être un outil de surveillance commercial, potentiellement développé ou acquis par un acteur étatique ou une entité privée spécialisée dans la cybersurveillance.

Protection et défense contre LandFall

Face à cette menace émergente, plusieurs mesures de protection et de défense peuvent être mises en œuvre par les utilisateurs d’appareils Samsung et les organisations.

Correctifs et mises à jour système

La mesure de protection la plus efficace reste l’application rapide des correctifs de sécurité :

  1. Mise à jour immédiate du système d’exploitation vers la version incluant le patch pour CVE-2025-21042
  2. Vérification des applications système et installation des dernières mises à jour via le Samsung Store
  3. Activation des notifications de sécurité pour être informé rapidement des nouveaux correctifs

Samsung a publié un correctif en avril 2025, mais de nombreux utilisateurs pourraient ne pas l’avoir encore installé. Dans la pratique, une campagne de sensibilisation est nécessaire pour encourager l’adoption des mises à jour.

Paramètres de sécurité recommandés

Les utilisateurs peuvent renforcer la sécurité de leurs appareils en activant plusieurs options de protection :

  • Mode avancé (Advanced Protection) sur Android pour une surveillance renforcée des menaces
  • Mode confinement (Lockdown Mode) sur les appareils iOS compatibles (pour les utilisations multi-plateformes)
  • Désactivation du téléchargement automatique des médias dans WhatsApp et autres applications de messagerie
  • Restriction des permissions d’accès pour les applications de galerie et de visualisation d’images

Bonnes pratiques pour les utilisateurs

Au-delà des paramètres techniques, certaines pratiques comportementales peuvent réduire considérablement le risque d’infection :

  1. Ne pas ouvrir d’images inattendues, même de contacts connus
  2. Vérifier l’origine des fichiers multimédias reçus
  3. Utiliser des applications de sécurité réputées pour scanner les fichiers avant ouverture
  4. Sauvegarder régulièrement les données importantes pour faciliter la récupération en cas d’infection

Recommandations pour les organisations

Pour les entreprises et organisations utilisant des appareils Samsung, des mesures complémentaires sont nécessaires :

1. **Mise en place d'un programme de gestion des vulnérabilités** pour un suivi proactif des correctifs
2. **Déploiement de solutions EDR** (Endpoint Detection and Response) capables de détecter les comportements anormaux
3. **Formation des utilisateurs** aux menaces spécifiques comme LandFall
4. **Politiques strictes** concernant l'utilisation des applications de messagerie sur les appareils professionnels
5. **Surveillance réseau** pour détecter les communications suspectées vers des serveurs C2

Conclusion : une vigilance accrue nécessaire

La découverte du spyware LandFall et de son exploitation d’une vulnérabilité zero-day dans les appareils Samsung via WhatsApp représente un rappel important des défis permanents de la cybersécurité mobile. Cette campagne illustre plusieurs tendances préoccupantes : l’utilisation de vecteurs de confiance comme WhatsApp pour livrer des menaces, l’exploitation de failles dans les codecs multimédias populaires, et la sophistication croissante des outils de surveillance commerciale.

Face à ces menaces, la protection des appareils mobiles nécessite une approche multi-couches combinant mises à jour rapides, paramètres de sécurité renforcés, et vigilance comportementale. Pour les utilisateurs d’appareils Samsung, l’application immédiate du correctif de sécurité est la mesure la plus urgente. Pour les organisations, une stratégie de cybersécurité proactive incluant la gestion des vulnérabilités et la surveillance avancée des endpoints est essentielle.

Alors que les acteurs malveillants continuent d’innover dans leurs techniques d’exploitation, la communauté de la sécurité doit rester alerte et collaborative. La découverte et l’analyse détaillée de campagnes comme LandFall par des chercheurs comme Unit 42 sont cruciales pour développer des contre-mesures efficaces et protéger les utilisateurs contre ces menaces persistantes.

Dans un monde numérique de plus en plus connecté, la protection des communications privées et des données sensibles sur les appareils mobiles n’est plus une option mais une nécessité. La vigilance continue et l’adoption de bonnes pratiques de sécurité restent les meilleurs remparts contre les menaces émergentes comme LandFall.