Pesquisadores de segurança descobriram um spyware Android que tinha como alvo os telefones Samsung Galaxy durante uma campanha de hackers que durou quase um ano.
Pesquisadores da Unidade 42 da Palo Alto Networks disseram que o spyware, que eles chamam de “Landfall”, foi detectado pela primeira vez em julho de 2024 e se baseava na exploração de uma falha de segurança no software do telefone Galaxy que era desconhecida pela Samsung na época, um tipo de vulnerabilidade conhecida como dia zero.
A Unidade 42 disse que a falha poderia ser abusada enviando uma imagem criada maliciosamente para o telefone da vítima, provavelmente entregue por meio de um aplicativo de mensagens, e que os ataques podem não ter exigido qualquer interação da vítima.
A Samsung corrigiu a falha de segurança – rastreada como CVE-2025-21042 – em abril de 2025, mas detalhes da campanha de spyware que abusava da falha não foram relatados anteriormente.
Os pesquisadores disseram que não se sabe qual fornecedor de vigilância desenvolveu o spyware Landfall, nem quantos indivíduos foram visados como parte da campanha. Mas os investigadores disseram que os ataques provavelmente tiveram como alvo indivíduos no Médio Oriente.
Itay Cohen, pesquisador principal sênior da Unidade 42, disse ao TechCrunch que a campanha de hackers consistia em um “ataque de precisão” a indivíduos específicos e não em um malware distribuído em massa, o que indica que os ataques provavelmente foram motivados por espionagem.
A Unidade 42 descobriu que o spyware Landfall compartilha infraestrutura digital sobreposta usada por um conhecido fornecedor de vigilância chamado Stealth Falcon, que já foi visto em ataques de spyware contra jornalistas, ativistas e dissidentes dos Emirados já em 2012. Mas os pesquisadores disseram que os links com o Stealth Falcon, embora intrigantes, não foram suficientes para atribuir claramente os ataques a um cliente governamental específico.
A Unidade 42 disse que as amostras de spyware Landfall que descobriram foram enviadas para o VirusTotal, um serviço de verificação de malware, de indivíduos em Marrocos, Irã, Iraque e Turquia ao longo de 2024 e início de 2025.
A equipe nacional de preparação cibernética da Turquia, conhecida como USOM, sinalizou um dos endereços IP aos quais o spyware Landfall se conectou como malicioso, o que a Unidade 42 disse apoiar a teoria de que indivíduos na Turquia podem ter sido alvo.
Assim como outros spywares governamentais, o Landfall é capaz de monitorar amplamente os dispositivos, como acessar os dados da vítima, incluindo fotos, mensagens, contatos e registros de chamadas, bem como tocar no microfone do dispositivo e rastrear sua localização precisa.
A Unidade 42 descobriu que o código-fonte do spyware fazia referência a cinco telefones Galaxy específicos, incluindo o Galaxy S22, S23, S24 e alguns modelos Z, como alvos. Cohen disse que a vulnerabilidade também pode estar presente em outros dispositivos Galaxy e afetar as versões 13 a 15 do Android.
A Samsung não respondeu a um pedido de comentário.
