La empresa de ciberseguridad Unit 42 ha descubierto una campaña de spyware en dispositivos Samsung Galaxy que explota una vulnerabilidad de día cero para infiltrarse en los teléfonos a través de imágenes enviadas por WhatsApp.
Los investigadores de seguridad advierten que la operación ha estado activa desde mediados de 2024 y que ayuda a los atacantes a desplegar malware avanzado para Android capaz de realizar una vigilancia completa del dispositivo sin interacción del usuario.
Los investigadores de ciberseguridad han bautizado la operación como LANDFALL, detectada en septiembre tras una investigación que comenzó a analizar muestras de exploits de iOS a mediados de 2025.
El malware LANDFALL ataca dispositivos Android Samsung
Según el informe de investigación de la Unidad 42 publicado el 7 de noviembre, el malware específico para Android estaba presente en las muestras de iOS oculto en archivos de imagen Digital Negative (DNG).
Algunos propietarios de teléfonos Samsung Galaxy informaron haber visto nombres al estilo de WhatsApp como “IMG-20240723-WA0000.jpg”, que fueron subidos a VirusTotal desde ubicaciones como Marruecos, Irán, Irak y Turquía entre julio de 2024 y principios de 2025.
LANDFALL utiliza un tipo de exploit denominado “CVE-2025-21042”, una vulnerabilidad en la biblioteca de procesamiento de imágenes libimagecodec.quram.so . CVE-2025-12725 también es un error de escritura fuera de límites en WebGPU, el componente de procesamiento gráfico del navegador Chrome de Google.
La vulnerabilidad se corrigió en abril de 2025 tras informes de explotación activa, pero no antes de que hubiera dañado archivos DNG malformados que contenían un archivo ZIP adjunto en varios dispositivos. Unit 42 explicó que engañaba a la biblioteca vulnerable para que extrajera trac ejecutara bibliotecas de objetos compartidos (.so) que instalaban el spyware en los dispositivos.
Según el informe de Unit 42, el software espía activa los micrófonos para grabar, traca los usuarios mediante GPS y roba información de forma sutil, como fotos, contactos, registros de llamadas y mensajes. Los modelos Samsung Galaxy afectados incluyen las series S22, S23, S24 y Z, específicamente aquellos con las versiones de Android 13, 14 y 15.
La vulnerabilidad de día cero también está afectando al análisis de imágenes DNG en Apple iOS , donde los desarrolladores de WhatsApp descubrieron que los atacantes estaban combinando la vulnerabilidad de Apple con el fallo para obligar a los dispositivos a procesar contenido de URL maliciosas.
La segunda parte de LANDFALL, denominada b.so, se conecta a su servidor de comando y control (C2) mediante HTTPS a través de un puerto TCP temporal no estándar. El malware puede enviar señales de ping para comprobar si el servidor está activo antes de iniciar el tráfico cifrado. Esto se explica en el apéndice técnico del informe.
Una vez que la conexión HTTPS está activa, b.so transmite una solicitud POST que contiene información detallada sobre el dispositivo infectado y la instancia de spyware, incluyendo el ID del agente, la ruta del dispositivo y el ID del usuario.
En septiembre, WhatsApp informó a Samsung sobre una vulnerabilidad relacionada (CVE-2025-21043). La compañía de mensajería advirtió a los usuarios que un mensaje malicioso podría aprovechar fallos en el sistema operativo para comprometer los dispositivos y los datos que contienen.
“Nuestra investigación indica que es posible que haya recibido un mensaje malicioso a través de WhatsApp, aprovechando otras vulnerabilidades del sistema operativo de su dispositivo”, informó Meta en una actualización de seguridad. “Si bien no podemos confirmar con certeza que su dispositivo haya sido comprometido, queríamos informarle por precaución”.
La semana pasada, el diario The Peninsula informó que la campaña podría estar traccon software espía vinculado a estados en dispositivos móviles de Oriente Medio. Pegasus de NSO Group, Predator de Cytox/Intellexa y FinFisher FinSpy de Gamma llevan tiempo vinculados a ataques similares.
Google proporciona actualizaciones para contrarrestar una vulnerabilidad de seguridad de día cero.
Según un informe anterior de Google, estos actores fueron responsables de casi la mitad de todas las vulnerabilidades de día cero en sus productos entre 2014 y 2023. El mes pasado, un tribunal federal estadounidense prohibió al grupo israelí NSO realizar ingeniería inversa de WhatsApp para distribuir software espía.
“Parte de lo que empresas como WhatsApp 'venden' es la privacidad de la información, y cualquier acceso no autorizado constituye una interferencia con esa venta”, declaró la jueza de distrito estadounidense Phyllis Hamilton en su fallo.
Los gigantes tecnológicos lanzaron la versión 142 de Chrome la semana pasada para solucionar cinco vulnerabilidades de seguridad críticas, tres de las cuales presentaban un alto riesgo. La actualización se distribuyó en ordenadores y dispositivos Android mediante parches publicados a través de Google Play.
CVE-2025-12727 afecta al motor JavaScript V8 de Chrome, que es responsable de la ejecución del rendimiento, mientras que CVE-2025-12726 afecta al administrador de la interfaz de usuario del navegador, Chrome Views.
Los profesionales de ciberseguridad ahora piden a los usuarios de Samsung Galaxy que apliquen inmediatamente la actualización de seguridad de abril de 2025 para corregir la vulnerabilidad CVE-2025-21042.
Las mentes más brillantes del mundo de las criptomonedas ya leen nuestro boletín. ¿Te apuntas? ¡ Únete !
