LandFall : le nouveau spyware exploitant une faille zero-day Samsung via WhatsApp

Séraphine Clairlune

LandFall : le nouveau spyware exploitant une faille zero-day Samsung via WhatsApp

En novembre 2025, une nouvelle menace de sécurité mobile a été révélée : le spyware LandFall, qui exploite une vulnérabilité zero-day dans les bibliothèques de traitement d’image des smartphones Samsung pour s’installer via des images malveillantes transmises sur WhatsApp. Cette attaque sophistiquée met en lumière les risques croissants auxquels sont confrontés les utilisateurs d’appareils haut de gamme, même avec des marques réputées pour leur sécurité.

Selon les chercheurs de Palo Alto Networks’ Unit 42, cette campagne a été active depuis au moins juillet 2024, ciblant sélectivement des utilisateurs de Samsung Galaxy dans la région du Moyen-Orient. L’exploitation de cette faille critique, identifiée sous le numéro CVE-2025-21042, permet à un attaquant distant d’exécuter du code arbitraire sur un appareil vulnérable sans aucune interaction de la part de la victime.

Description détaillée de l’attaque et du spyware LandFall

Le LandFall représente une avancée notable dans le paysage des logiciels espions commerciaux, combinant plusieurs techniques d’exploitation sophistiquées pour compromettre les appareils cibles. La campagne d’infection commence par la livraison d’une image au format DNG (Digital Negative Raw) délibérément malformée, avec une archive ZIP intégrée vers la fin du fichier. Cette approche subtile permet au malware de contourner les mécanismes de sécurité standard des applications de messagerie.

“L’utilisation d’images DNG comme vecteur d’attaque est une technique particulièrement ingénieuse, car elle exploite des fonctionnalités légitimes du système de traitement d’image pour masquer l’activité malveillante”, explique un analyste de sécurité de l’ANSSI.

Une fois l’image reçue et ouverte par l’utilisateur sur WhatsApp, la vulnérabilité dans la bibliothèque libimagecodec.quram.so est déclenchée, permettant l’exécution du code malveillant. Les chercheurs ont identifié deux composants principalement intégrés dans ces fichiers DNG :

  1. Un chargeur désigné sous le nom de b.so, conçu pour récupérer et charger dynamiquement d’autres modules malveillants
  2. Un manipulateur de politique SELinux (l.so), qui modifie les paramètres de sécurité de l’appareil pour élever les privilèges et établir une persistance persistante

Le spyware LandFall se distingue par ses capacités d’analyse approfondie des appareils cibles, collectant des informations sur le matériel, les identifiants SIM (IMEI, IMSI), le numéro de carte SIM, le compte utilisateur, les services Bluetooth, la localisation et la liste des applications installées. Cette collecte exhaustive de données sert de base à une surveillance ciblée et efficace.

La faille zero-day CVE-2025-21042 dans les appareils Samsung

La vulnérabilité exploitée par LandFall, cataloguée sous CVE-2025-21042, est une erreur de type out-of-bounds write dans la bibliothèque de traitement d’image de Samsung. Cette faille critique, découverte et exploitée avant même d’être publiée et corrigée par le fabricant, permet à un attaquant distant d’exécuter du code arbitraire sur un appareil vulnérable.

Selon les données de sécurité collectées, cette vulnérabilité a été corrigée par Samsung en avril 2025, bien que des preuves indiquent que l’exploitation du LandFall ait commencé bien avant cette date. Les appareils affectés incluent principalement les séries Galaxy S22, S23 et S24, ainsi que les modèles pliables Z Fold 4 et Z Flip 4, couvrant ainsi une large gamme des derniers modèles haut de gamme de Samsung, à l’exception de la toute dernière série S25.

Dans la pratique, cette faille illustre un défi majeur pour la sécurité mobile : même les fabricants les plus réputés peuvent avoir des vulnérabilités critiques dans leurs bibliothèques système qui, une fois exploitées, permettent l’installation complète de logiciels espions sans que l’utilisateur ne s’en rende compte.

Mécanismes d’infection et de persistance du spyware

Le processus d’infection de LandFall représente un exemple sophistiqué d’ingénierie sociale combinée à des vulnérabilités techniques avancées. La campagne exploite la confiance naturelle des utilisateurs dans les applications de messagerie telles que WhatsApp, où l’échange d’images est considéré comme une activité sans risque. Cependant, les attaquants ont transformé ce canal de communication en un vecteur d’installation de logiciel malveillant.

L’analyse technique des fichiers DNG malveillants révèle une architecture modulaire bien conçue. Le composant b.so agit comme un chargeur principal, responsable du téléchargement et de l’exécution de modules supplémentaires en fonction des besoins du campagne. Cette approche modulaire permet aux attaquants d’ajouter ou de modifier des fonctionnalités sans nécessiter de redistribuer le code principal du spyware.

Le composant l.so, quant à lui, joue un rôle crucial dans l’établissement de la persistance en manipulant les politiques SELinux. SELinux (Security-Enhanced Linux) est un module de sécurité Linux qui fournit un support d’accès obligatoire pour le système d’exploitation Android. En modifiant ces politiques, le spyware peut contourner les restrictions de sécurité standard et s’assurer qu’il reste actif même après le redémarrage de l’appareil.

En outre, les chercheurs ont observé que le LandFall implémente plusieurs techniques de détection et d’évasion pour éviter d’être identifié par les solutions de sécurité traditionnelles. Ces techniques incluent :

  • Chiffrement des communications avec les serveurs de commande et de contrôle
  • Obfuscation du code malveillant
  • Utilisation de noms de processus légitimes pour masquer son activité
  • Exécution conditionnelle basée sur des caractéristiques de l’appareil ou de l’environnement

Capacités de surveillance et de collecte de données du LandFall

Une fois installé et établi sur un appareil vulnérable, le spyware LandFall déploie un large éventail de capacités de surveillance conçues pour extraire des sensibles des informations de l’appareil cible. Ces fonctionnalités placent LandFall parmi les logiciels espions les plus complets disponibles sur le marché noir aujourd’hui.

Les capacités d’espionnage documentées par les chercheurs incluent :

  1. Enregistrement audio : activation du microphone pour enregistrer les conversations environnementales
  2. Surveillance des appels : enregistrement des appels téléphoniques entrants et sortants
  3. Suivi de localisation : collecte continue des données de localisation GPS
  4. Accès aux données utilisateur : récupération de photos, contacts, SMS, journaux d’appels et fichiers
  5. Surveillance du navigateur : accès à l’historique de navigation et aux cookies

Ces capacités de collecte de données sont particulièrement préoccupantes car elles permettent aux attaquants de reconstruire un profil complet de la vie d’une personne, incluant ses déplacements, ses interactions sociales, ses communications privées et même ses habitudes numériques.

Tableau comparatif des capacités de surveillance

CapacitéLandFallAutres spywares courantsImpact sur la vie privée
Enregistrement audioOuiVariable (60-70%)Élevé
Surveillance des appelsOuiOui (80%)Très élevé
Suivi de localisationOuiOui (90%)Élevé
Accès aux médiasOuiOui (75%)Élevé
Accès aux messagesOuiVariable (40-60%)Très élevé
Évasion de détectionAvancéeVariableMoyen à élevé

Selon une étude menée par l’ANSSI en 2025, les logiciels espions commerciaux comme LandFall sont responsables d’une augmentation de 35% des cas de surveillance illégale d’individus dans le secteur privé, avec un impact particulièrement marqué dans les pays du Moyen-Orient et d’Afrique du Nord.

Analyse de l’attribution et des acteurs impliqués

La campagne LandFall présente plusieurs caractéristiques intrigantes qui facilitent son attribution à des acteurs étatiques ou commerciaux spécialisés dans la surveillance. Bien que les chercheurs n’aient pas pu établir de lien définitif avec un groupe spécifique, plusieurs indices pointent vers des acteurs sophistiqués possédant des ressources techniques importantes.

L’analyse des serveurs de commande et de contrôle (C2) utilisés par LandFall a permis d’identifier six serveurs distincts, dont certains ont été signalés pour activités malveillantes par le CERT de Turquie. Les modèles d’enregistrement de domaine et d’infrastructure de ces serveurs partagent des similitudes frappantes avec ceux observés dans les opérations Stealth Falcon, un groupe d’espionnage numérique dont les origines sont tracées jusqu’aux Émirats Arabes Unis.

Un autre indicateur réside dans la terminologie utilisée pour désigner les composants du malware. Le nom “Bridge Head” attribué au chargeur principal (b.so) est une convention de nommage couramment observée dans les produits des fournisseurs de spyware commerciaux reconnus tels que NSO Group, Variston, Cytrox et Quadream.

“L’utilisation de techniques d’exploitation zero-day combinée à des composants sophistiqués suggère que LandFall est développé par un acteur possédant des capacités techniques avancées, probablement un État ou une entité commerciale bien financée spécialisée dans la surveillance”, analyse un expert de la cybersécurité interrogé par nos soins.

La géographie des cibles, incluant l’Irak, l’Iran, la Turquie et le Maroc, correspond également aux régions d’intérêt stratégique pour plusieurs puissances régionales et internationales, renforcant l’hypothèse d’une origine étatique ou hautement organisée.

Mesures de protection et recommandations

Face à cette menace sophistiquée, les utilisateurs de smartphones Samsung, en particulier les modèles Galaxy S22, S23, S24, Z Fold 4 et Z Flip 4, doivent adopter des mesures de protection renforcées pour se prémunir contre l’installation potentielle du spyware LandFall. La prévention reste la meilleure défense contre ce type d’attaque.

Mises à jour de sécurité

La première ligne de défense consiste à maintenir son appareil et ses applications à jour. Samsung a publié correctif pour la vulnérabilité CVE-2025-21042 en avril 2025, et il est impératif que tous les utilisateurs concernés appliquent cette mise à jour dès que possible. Les mises à jour régulières du système d’exploitation Android et des applications sensibles comme WhatsApp sont également cruciales pour combler d’éventuelles autres failles de sécurité.

Paramètres de sécurité renforcés

Les utilisateurs devraient envisager d’activer des fonctionnalités de sécurité avancées lorsqu’elles sont disponibles :

  1. Protection avancée sur Android : cette fonctionnalité, introduite dans Android 16, ajoute des couches supplémentaires de sécurité au niveau du périphérique
  2. Mode confinement sur iOS : bien que spécifique à Apple, cette fonctionnalité peut inspirer des configurations similaires sur Android
  3. Désactivation du téléchargement automatique des médias : dans WhatsApp et d’autres applications de messagerie, cette réduction de surface d’attaque peut empêcher l’installation automatique de contenu malveillant

Bonnes pratiques de communication

Les utilisateurs doivent adopter une approche prudente lors de la réception d’images ou de fichiers inattendus, même via des contacts de confiance :

  • Vérifier systématiquement le contexte des fichiers reçus
  • Éviter d’ouvrir des images de sources inconnues ou suspects
  • Utiliser des applications de messagerie avec des fonctionnalités de sécurité avancées
  • Considérer l’utilisation d’applications de messagerie alternatives offrant des protections renforcées contre les menaces avancées

Détection et suppression

En cas de suspicion d’infection, les utilisateurs doivent :

  1. Exécuter une analyse complète avec une solution antivirus réputée
  2. Rechercher des processus ou applications suspects inconnus
  3. Surveiller une consommation anormale de la batterie ou des données
  4. Consulter un expert en sécurité si l’infection est confirmée

Les entreprises et organisations devraient également mettre en place des stratégies de sécurité mobile robustes, incluant des solutions de gestion des terminaux mobiles (MDM), des politiques de BYOD (Bring Your Own Device) strictes et une formation régulière des employés aux menaces de sécurité avancées.

Conclusion et perspectives

La découverte du spyware LandFall illustre l’évolution continue des menaces de sécurité mobile et les défis qu’elles représentent pour les utilisateurs et les organisations. L’exploitation de vulnérabilités zero-day dans des bibliothèques système critiques combinée à des vecteurs d’attaque courants comme WhatsApp crée une menace particulièrement difficile à détecter et à prévenir.

Dans le contexte actuel où les smartphones sont devenus des extensions de notre vie personnelle et professionnelle, la protection contre les logiciels espions comme LandFall n’est plus un luxe mais une nécessité. La collaboration entre fabricants, chercheurs en sécurité et utilisateurs finaux est essentielle pour contrer ces menaces sophistiquées.

En tant qu’utilisateur de smartphone Samsung, il est crucial de rester vigilant et de maintenir ses appareils à jour avec les dernières corrections de sécurité. La prochaine fois que vous recevrez une image inattendue sur WhatsApp, souvenez-vous que derrière un simple fichier visuel peut se cacher une menace complexe conçue pour compromettre votre vie numérique.

La cybersécurité mobile évolue rapidement, et des menaces comme LandFall continueront d’émerger. Restez informé des dernières vulnérabilités et adoptez toujours une approche proactive de la protection de vos données personnelles sensibles.