LandFall : Le nouveau spyware qui exploite une faille zero-day de Samsung via WhatsApp

Célestine Rochefour

LandFall : Le nouveau spyware qui exploite une faille zero-day de Samsung via WhatsApp

Dans un contexte où les menaces mobiles ne cessent de se sophistiquer, la découverte du spyware LandFall représente une inquiétante évolution. Des chercheurs de Palo Alto Networks’ Unit 42 ont identifié une campagne d’espionnage ciblée exploitant une faille zero-day dans la bibliothèque de traitement d’images Android de Samsung pour distribuer ce malware via des images malveillantes envoyées sur WhatsApp. Cette attaque démontre la persistance des acteurs malveillants et la vulnérabilité persistante des appareils mobiles, même ceux des marques les plus prestigieuses. Selon les experts, cette campagne active depuis juillet 2024 a touché des utilisateurs de Samsung Galaxy dans plusieurs pays du Moyen-Orient, soulignant l’importance cruciale de la cybersécurité pour les utilisateurs d’appareils Android.

La faille CVE-2025-21042 et son exploitation technique

L’attaque LandFall repose sur CVE-2025-21042, une faille zero-day classée comme critique dans la bibliothèque libimagecodec.quram.so de Samsung. Cette vulnérabilité correspond à une écriture out-of-bounds qui, lorsqu’elle est exploitée avec succès, permet à un attaquant distant d’exécuter du code arbitraire sur un appareil ciblé. La faille a été identifiée en avril 2025 et corrigée par Samsung, mais les preuves indiquent que les attacks étaient en cours bien avant cette correction.

“Cette faille représente un risque majeur car elle affecte directement le traitement des images, une fonctionnalité largement utilisée par les applications mobiles aujourd’hui.”

L’exploitation technique est particulièrement ingénieuse : les attaquants utilisent des images au format DNG (Digital Negative), un format brut utilisé en photographie numérique, dans lesquelles ils intègrent un fichier ZIP malveillant à la fin du fichier. Lorsqu’une victime ouvre ou même prévisualise cette image via WhatsApp, le code malveillant s’exécute silencieusement. Dans la pratique, ce mécanisme permet au spyware de contourner les défenses traditionnelles car les appareils et applications traitent naturellement les images sans réticence.

Les chercheurs ont identifié deux composants principals dans les fichiers DNG malveillants :

  1. Le loader (b.so) : Ce composant récupère et charge des modules supplémentaires en fonction des besoins de l’attaquant
  2. Le manipulator de politique SELinux (l.so) : Ce module modifie les paramètres de sécurité de l’appareil pour élever les privilèges et assurer la persistance du malware

Cette technique d’injection de code via des images n’est pas nouvelle dans le paysage des menaces, mais son application sur Samsung via WhatsApp marque une escalade inquiétante. Selon les données de l’ANSSI, les failles zero-day dans les bibliothèques multimédias ont augmenté de 47% en 2025, faisant de ce type d’attaque l’une des menaces les plus préoccupantes pour les appareils mobiles.

Capacités et fonctionnalités du spyware LandFall

Une fois installé sur un appareil compromis, LandFall révèle des capacités d’espionnage particulièrement étendues qui en font un outil de surveillance redoutable. Contrairement à de nombreux malwares mobiles aux fonctionnalités limitées, LandFall offre une gamme complète d’outils de collecte d’informations, conçus pour un espionnage complet et persistant de l’utilisateur.

Les fonctionnalités principales du spyware incluent :

  • Enregistrement audio : Activation à distance du microphone pour capturer les conversations environnantes
  • Surveillance des communications : Enregistrement des appels téléphoniques et interception des SMS
  • Suivi de localisation : Collecte continue des données GPS et des informations sur les réseaux Wi-Fi environnants
  • Accès aux données personnelles : Récupération des photos, contacts, journaux d’appels et fichiers stockés sur l’appareil
  • Collecte d’identifiants : Accès à l’historique de navigation et aux informations de connexion

Ces capacités sont complétées par des fonctions d’évasion des défenses et de persistance avancées. Le malware modifie dynamiquement les politiques SELinux pour contourner les restrictions de sécurité Android et s’assure de redémarrer automatiquement au redémarrage de l’appareil. Par ailleurs, il utilise des techniques avancées pour masquer ses activités et éviter la détection par les solutions de sécurité traditionnelles.

Dans la pratique, un appareil infecté par LandFall devient une véritable porte d’entrée sur la vie privée et professionnelle de son utilisateur. Les chercheurs ont observé que le spyware peut collecter des informations sur le matériel, les identifiants SIM (IMEI, IMSI), le numéro de carte SIM, le compte utilisateur, les services Bluetooth, les services de localisation et la liste des applications installées. Cette richesse de données permet aux attaquants de créer un profil détaillé de la victime et d’adapter leurs attaques en conséquence.

Cibles et géographie de l’attaque

L’analyse des échantillons soumis à VirusTotal depuis juillet 2024 révèle une campagne ciblant spécifiquement certaines régions et certains modèles d’appareils Samsung. Contrairement aux attaques de masse visant un large public, LandFall représente une opération d’espionnage ciblé, typique des logiciels de surveillance commerciale utilisés par diverses entités étatiques ou privées.

Les cibles principales identifiées incluent :

  • Utilisateurs en Irak : Nombreuses infections signalées dans cette région
  • Utilisateurs en Iran : Ciblage particulièrement actif
  • Utilisateurs en Turquie : Présence significative des échantillons
  • Utilisateurs au Maroc : Cas confirmés dans ce pays

Cette géographie ciblée suggère que l’opération LandFall pourrait être motivée par des intérêts géopolitiques ou économiques spécifiques aux régions du Moyen-Orient et d’Afrique du Nord. Les chercheurs ont noté que les modèles ciblés correspondent tous aux appareils haut de gamme Samsung, indiquant une préférence pour les utilisateurs possédant des informations ou des positions stratégiques.

Sur le plan technique, la campagne cible spécifiquement les modèles suivants :

Modèle SamsungStatutRisque
Galaxy S22VulnérableÉlevé
Galaxy S23VulnérableÉlevé
Galaxy S24VulnérableÉlevé
Galaxy Z Fold 4VulnérableÉlevé
Galaxy Z Flip 4VulnérableÉlevé
Galaxy S25Non affectéN/A

Curieusement, la dernière génération de smartphones Samsung, la série Galaxy S25, n’est pas affectée par cette faille, suggérant soit que les attaquants n’ont pas encore développé d’exploit pour ce modèle, soit que Samsung a corrigé la vulnérabilité avant la sortie de ces appareils. Cette distinction souligne l’importance pour les utilisateurs de maintenir leurs appareils à jour, même les modèles récents.

Les chercheurs ont également identifié six serveurs de command-and-control (C2) associés à la campagne LandFall. Certains de ces serveurs avaient déjà été signalés pour des activités malveillantes par le CERT turc, confirmant le lien entre cette campagne et d’autres opérations d’espionnage ciblé dans la région.

Attribution et acteurs derrière l’attaque

L’attribution précise de la campagne LandFall reste floue, mais les chercheurs ont identifié plusieurs indices suggérant des liens avec des acteurs déjà connus dans le paysage des menaces avancées. L’analyse des modèles d’enregistrement de domaine et de l’infrastructure C2 révèle des similitudes frappantes avec les opérations Stealth Falcon, un groupe d’espionnage attribué aux Émirats arabes unis.

Un autre indice important est la terminologie utilisée pour nommer le loader du spyware : “Bridge Head”. Cette convention de nommage est couramment observée dans les produits d’espionnage commerciale développés par des sociétés comme NSO Group, Variston, Cytrox et Quadream. Ces entreprises sont connues pour développer des outils d’espionnage sophistiqués, souvent vendus à des gouvernements et des agences de sécurité à travers le monde.

Néanmoins, malgré ces indices, les chercheurs n’ont pas pu établir de lien définitif entre LandFall et l’un des groupes ou fournisseurs spécifiquement identifiés. Cette absence de certitude souligne la complexité du paysage des menaces actuelles, où les acteurs malveillants utilisent régulièrement des techniques opérations pour masquer leurs véritables origines et affiliations.

Dans le contexte français, cette campagne soulève des questions importantes sur la sécurité des communications et la protection des données personnelles. La CNIL et l’ANSSI ont régulièrement mis en garde contre les risques liés aux logiciels de surveillance, notamment lorsqu’ils sont utilisés pour cibler des citoyens ou des personnalités publiques. La découverte de LandFall renforce ces préoccupations et pourrait influencer les futures politiques de cybersécurité adoptées par les autorités françaises.

Selon les rapports de l’ANSSI, les campagnes d’espionnage ciblé ont augmenté de 35% en 2025, avec une prédominance croissante des outils basés sur des failles zero-day dans les bibliothèques systèmes des appareils mobiles. Cette tendance représente un défi majeur pour les professionnels de la sécurité, qui doivent constamment adapter leurs stratégies de défense face à ces menaces émergentes.

Comment se protéger contre le spyware LandFall et autres menaces similaires

Face à l’évolution constante des menaces mobiles, la protection contre des spywares sophistiqués comme LandFall nécessite une approche multicouche et une vigilance accrue des utilisateurs comme des organisations. Les bonnes pratiques de sécurité mobile doivent intégrer plusieurs couches de défense pour contrer efficacement ce type d’attaques.

Voici les mesures essentielles à adopter pour se protéger :

  1. Mises à jour régulières : Appliquer immédiatement les mises à jour de sécurité pour le système d’exploitation Android et toutes les applications, en particulier celles liées aux communications et au traitement multimédia
  2. Restriction des permissions : Limiter strictement les permissions accordées aux applications, en particulier l’accès au microphone, à la localisation et aux contacts
  3. Téléchargement manuel des médias : Désactiver le téléchargement automatique des images et vidéos dans les applications de messagerie comme WhatsApp
  4. Solutions de sécurité : Installer des applications antivirus réputées capables de détecter les menaces avancées sur les appareils Android
  5. Sauvegardes régulières : Maintenir des sauvegardes régulières des données importantes pour permettre une restauration en cas d’infection
  6. Réseau Wi-Fi sécurisé Éviter les connexions Wi-Fi non sécurisées, qui peuvent faciliter l’injection de malwares
  7. Formation et sensibilisation : Maintenir une formation régulière sur les risques de cybersécurité et les techniques d’ingénierie sociale

Pour les utilisateurs Samsung spécifiquement, l’activation de la fonction “Advanced Protection” disponible sur les appareils récents offre une couverture de sécurité supplémentaire. Cette fonctionnalité, introduite avec Android 16, implémente des contrôles de sécurité renforcés au niveau du matériel pour protéger contre les exploits avancés comme celui utilisé par LandFall.

Étapes de protection pour les utilisateurs Samsung Galaxy

Pour les propriétaires de Samsung Galaxy, notamment des modèles S22, S23, S24, Z Fold 4 et Z Flip 4, une attention particulière doit être portée à la protection contre le spyware LandFall. Ces appareils, bien que populaires, représentent une cible prioritaire pour les attaquants cherchant à exploiter la faille CVE-2025-21042.

“La sécurité mobile ne doit pas être une après-thought mais une intégration fondamentale de l’utilisation des appareils connectés.”

Premièrement, vérifier que votre appareil exécute la version la plus récente du système d’exploitation Android. Samsung a déployé une correction pour cette vulnérabilité en avril 2025, et les utilisateurs doivent s’assurer que leur appareil est bien à jour. Pour ce faire :

  1. Allez dans les paramètres > Système > Mises à jour système
  2. Vérifiez si une mise à jour est disponible et installez-la immédiatement
  3. Redémarrez votre appareil après l’installation pour appliquer toutes les corrections

Deuxièmement, examinez attentivement les permissions accordées à vos applications, en particulier celles liées à la messagerie, à la photographie et au traitement d’images. Pour gérer les permissions :

  1. Allez dans les paramètres > Applications
  2. Sélectionnez chaque application individuelle et vérifiez ses permissions
  3. Révoquez toute permission non essentielle, surtout l’accès au microphone, à la caméra et aux fichiers de stockage

Troisièmement, modifiez les paramètres de WhatsApp pour limiter le risque d’exécution automatique de code malveillant :

  1. Ouvrez WhatsApp et allez dans les paramètres
  2. Sélectionnez Stockage et données > Média auto-téléchargé
  3. Choisissez “Ne jamais” pour les images, vidéos et documents
  4. Désactivez également l’option “Prévisualiser les pages Web” dans les paramètres de confidentialité

Quatrièmement, installez une solution de sécurité réputée capable de détecter les menaces avancées. Plusieurs applications comme Bitdefender Mobile Security, Kaspersky Internet Security ou Norton Mobile Security offrent une protection efficace contre les spywares émergents. Ces solutions utilisent des techniques avancées d’analyse comportementale pour identifier les activités malveillantes même si elles utilisent des méthodes de camouflage sophistiquées.

Enfin, pour les utilisateurs particulièrement exposés ou traitant des informations sensibles, l’adoption de mesures supplémentaires comme l’utilisation d’appareils dédiés ou l’activation des modes de protection renforcés (comme “Lockdown Mode” sur iOS ou son équivalent Android) peut offrir une couverture supplémentaire contre les menaces avancées.

Conclusion : La nécessité d’une vigilance accrue face aux menaces mobiles

La découverte du spyware LandFall représente un rappel important de la vulnérabilité persistante des appareils mobiles, même ceux des marques les plus réputées. L’exploitation d’une faille zero-day dans la bibliothèque de traitement d’images de Samsung via WhatsApp démontre à la fois la sophistication croissante des attaquants et les défis permanents de la sécurité mobile. Alors que les utilisateurs français et internationaux dépendent de plus en plus de leurs smartphones pour les communications personnelles et professionnelles, la protection contre ce type de menaces devient une nécessité vitale.

La campagne LandFall illustre une tendance inquiétante dans le paysage des cybermenaces : l’utilisation ciblée d’exploits zero-day pour distribuer des logiciels de surveillance sophistiqués. Avec une augmentation de 47% des failles zero-day dans les bibliothèques multimédias en 2025 selon l’ANSSI, cette menace risque de se généraliser dans les mois à venir. Les utilisateurs doivent adopter une approche proactive de la sécurité mobile, intégrant mises à jour régulières, restriction des permissions et vigilance accrue.

Face à cette évolution, la collaboration entre fabricants, chercheurs en sécurité et utilisateurs devient plus cruciale que jamais. Samsung a réagi rapidement en corrigeant la faille CVE-2025-21042, mais la nature même des zero-day rend leur prévention extrêmement difficile. Les utilisateurs doivent comprendre que la sécurité mobile n’est pas une garantie absolue mais un processus continu nécessitant une attention constante et une adaptation constante aux menaces émergentes.

Dans le contexte français, où la protection des données personnelles est un enjeu majeur renforcé par le RGPD, la découverte de telles campagnes d’espionnage souligne l’importance de renforcer les cadres réglementaires et les mécanismes de défense. Les citoyens et organisations françaises doivent rester vigilants et suivre les conseils de l’ANSSI et de la CNIL pour se protéger efficacement contre les menaces mobiles avancées comme LandFall.