Un nuevo informe de ciberseguridad ha sacudido al mundo tecnológico: un sofisticado software espía llamado Landfall logró infiltrarse en teléfonos Samsung Galaxy durante casi un año sin ser detectado, aprovechando una vulnerabilidad del tipo día cero —un fallo desconocido incluso por el propio fabricante.
Los investigadores de Unit 42, el equipo de ciberseguridad de Palo Alto Networks, revelaron que Landfall comenzó su operación en julio de 2024, atacando de forma silenciosa y precisa a un grupo limitado de personas. El spyware se distribuía a través de imágenes maliciosas enviadas por aplicaciones de mensajería, y lo más alarmante es que no requería ninguna acción por parte de la víctima.
El fallo, identificado como CVE-2025-21042, fue corregido por Samsung en abril de 2025, pero hasta ahora no se había revelado públicamente el alcance real del ataque.
Según el investigador principal Itay Cohen, no se trató de un malware masivo, sino de un ataque de espionaje quirúrgico, cuidadosamente diseñado para infiltrarse en dispositivos específicos.
Aunque aún no se ha identificado al desarrollador del spyware ni a su cliente final, los expertos sospechan que las víctimas se encontraban principalmente en Medio Oriente.
Unit 42 descubrió que Landfall comparte parte de su infraestructura digital con Stealth Falcon, un grupo de vigilancia asociado a ataques anteriores contra periodistas, activistas y disidentes de Emiratos Árabes Unidos desde 2012.
Sin embargo, los investigadores advierten que, aunque las similitudes son notables, no existe evidencia suficiente para atribuir el ataque a un gobierno o actor específico.
Durante la investigación, se detectaron muestras del spyware subidas a VirusTotal por usuarios de Marruecos, Irán, Irak y Turquía, y el equipo nacional de ciberseguridad turco (USOM) confirmó que una de las direcciones IP involucradas era maliciosa, lo que respalda la teoría de que también hubo víctimas en ese país.
Espionaje total: acceso a fotos, mensajes y ubicación
Como otros programas de espionaje patrocinados por gobiernos, Landfall tenía acceso a casi todos los datos personales del dispositivo comprometido. Esto incluía:
- 📸 Fotos y archivos almacenados.
- 💬 Mensajes y registros de llamadas.
- 📇 Contactos y correos electrónicos.
- 🎙️ Activación remota del micrófono.
- 📍 Rastreo preciso de la ubicación en tiempo real.
Los análisis de Unit 42 también confirmaron que el código del malware hacía referencia directa a modelos Galaxy S22, S23, S24 y algunos Z, lo que sugiere que el ataque estaba diseñado específicamente para los teléfonos insignia de Samsung con Android 13, 14 y 15.
Samsung guarda silencio
Hasta el momento, Samsung no ha emitido ningún comunicado oficial sobre el hallazgo ni sobre el número de usuarios afectados. El caso de Landfall se suma a una creciente ola de ciberataques dirigidos a dispositivos Android que ponen en evidencia la vulnerabilidad incluso de las marcas más reconocidas del mercado.