Una falla de seguridad ahora parcheada en los dispositivos Samsung Galaxy Android se aprovechó como día cero para lanzar un software espía Android de «nivel comercial» denominado TOCAR TIERRA en ataques selectivos en el Medio Oriente.
La actividad implicó la explotación de CVE-2025-21042 (puntuación CVSS: 8,8), una falla de escritura fuera de límites en el componente «libimagecodec.quram.so» que podría permitir a los atacantes remotos ejecutar código arbitrario, según la Unidad 42 de Palo Alto Networks. El problema era dirigido de Samsung en abril de 2025.
«Esta vulnerabilidad se explotó activamente en la naturaleza antes de que Samsung la parcheara en abril de 2025, tras recibir informes de ataques espontáneos», Unidad 42 dijo . Los posibles objetivos de la actividad, rastreados como CL-UNK-1054, se encuentran en Irak, Irán, Turquía y Marruecos según los datos enviados por VirusTotal.
El desarrollo llega como Samsung divulgado en septiembre de 2025, que otra falla de la misma biblioteca (CVE-2025-21043, puntuación CVSS: 8,8) también había sido explotada de forma natural como día cero. No hay pruebas de que este fallo de seguridad se haya utilizado como arma en la campaña LANDFALL.
Se estima que los ataques implicaron el envío a través de WhatsApp de imágenes maliciosas en forma de DNG Archivos (negativos digitales), con evidencia de muestras de LANDFALL que se remontan al 23 de julio de 2024. Se basa en artefactos DNG con nombres como «WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg" y «IMG-20240723-WA0000.jpg».
LANDFALL, una vez instalado y ejecutado, actúa como una herramienta de espionaje integral, capaz de recopilar datos confidenciales, incluida la grabación del micrófono, la ubicación, las fotos, los contactos, los SMS, los archivos y los registros de llamadas. Se dice que la cadena de exploits probablemente implicó el uso de un enfoque sin hacer clic para desencadenar la explotación del CVE-2025-21042 sin necesidad de ninguna interacción por parte del usuario.
|
| Diagrama de flujo del software espía LANDFALL |
Vale la pena señalar que casi al mismo tiempo, WhatsApp reveló que había una falla en su aplicación de mensajería para iOS y macOS ( CVE-2025-55177 , puntuación CVSS: 5.4) se encadenó junto con CVE-2025-43300 (puntuación CVSS: 8,8), una falla en Apple iOS, iPadOS y macOS, que podría dirigirse a menos de 200 usuarios como parte de una campaña sofisticada. Desde entonces, Apple y WhatsApp han corregido las fallas.
|
| Cronología de los archivos de imágenes DNG maliciosos recientes y de la actividad de explotación asociada |
El análisis de la Unidad 42 de los archivos DNG descubiertos muestra que vienen con un archivo ZIP incrustado adjunto al final del archivo, y que el exploit se utiliza para extraer una biblioteca de objetos compartidos del archivo para ejecutar el spyware. En el archivo también hay otro objeto compartido diseñado para manipular el contenido del dispositivo SELinux política para conceder permisos elevados a LANDFALL y facilitar la persistencia.
El objeto compartido que carga LANDFALL también se comunica con un servidor de comando y control (C2) a través de HTTPS para entrar en un bucle de balizamiento y recibir cargas útiles de la siguiente etapa no especificadas para su posterior ejecución.
Actualmente no se sabe quién está detrás del spyware o de la campaña. Dicho esto, Unit 42 afirmó que la infraestructura C2 y los patrones de registro de dominios de LANDFALL coinciden con los de Halcón sigiloso (también conocido como FruityArmor), aunque, en octubre de 2025, no se habían detectado superposiciones directas entre los dos grupos.
«Desde la aparición inicial de las muestras en julio de 2024, esta actividad pone de relieve cómo los exploits sofisticados pueden permanecer en los repositorios públicos durante un período prolongado antes de que se entiendan por completo», afirma Unit 42.