brève actu
Le spyware LANDFALL infiltre les smartphones Samsung via une faille zero-day. CISA alerte et exige une correction rapide face à cette menace sophistiquée.
Le paysage de la cybersécurité est une fois de plus mis à l’épreuve avec l’apparition de LANDFALL, un spyware Android sophistiqué ciblant spécifiquement les appareils Samsung Galaxy. Ce malware utilise une vulnérabilité zero-day récemment identifiée, CVE-2025-21042, dans la bibliothèque de traitement d’images de Samsung pour s’infiltrer sans interaction utilisateur. Cette menace, qui a frappé principalement le Moyen-Orient, a été suffisamment préoccupante pour que l’agence américaine CISA l’ajoute à son catalogue des vulnérabilités exploitées. Ce développement souligne l’importance cruciale d’une réaction rapide pour protéger les infrastructures numériques.
Une attaque zero-click sophistiquée ciblant les appareils Samsung
LANDFALL s’est distingué par sa méthode d’attaque zero-click, qui permet au spyware de s’installer sur les appareils sans intervention de l’utilisateur. Selon Unit 42, le malware exploite une faille dans la bibliothèque de traitement d’image de Samsung, libimagecodec.quram.so, pour déployer son code malveillant. Les fichiers d’images DNG, utilisés pour dissimuler le spyware, contiennent des archives ZIP intégrées qui extraient des composants essentiels pour l’exécution du malware. Ce dernier est capable d’enregistrer des appels, de suivre la localisation, et de voler des données sensibles, tout en contournant les mesures de sécurité grâce à des techniques d’évasion avancées.
La campagne LANDFALL, active depuis plusieurs mois, a ciblé des modèles phares de Samsung tels que les Galaxy S22 à S24, ainsi que les modèles Fold4 et Flip4. Les chercheurs de Unit 42 ont découvert cette attaque en analysant des fichiers d’images DNG malformés, qui ont été distribués principalement via WhatsApp. Cette méthode de propagation met en lumière la tendance croissante des attaques basées sur le traitement d’images, qui touchent non seulement les appareils Android, mais aussi les plateformes iOS.
Offrez un café pour soutenir cette veille indépendante.
☕ Je soutiens DCODL’impact de cette campagne est renforcé par le fait que les cibles potentielles incluent des pays comme l’Irak, l’Iran, la Turquie et le Maroc. L’absence de confirmation sur l’identité des attaquants n’empêche pas les experts de suspecter des liens avec des acteurs connus du cyberespionnage, bien que ces connexions restent à prouver.
La vulnérabilité CVE-2025-21042, exploitée par LANDFALL, a été identifiée et corrigée par Samsung en avril 2025. Cependant, les attaques avaient déjà été en cours depuis plusieurs mois avant la mise en place du correctif. La CISA a réagi en ajoutant cette faille à son catalogue de vulnérabilités exploitées, demandant aux agences fédérales de corriger ces failles d’ici décembre 2025. Cette directive insiste sur la nécessité pour les organisations, publiques et privées, d’adopter des mesures proactives pour sécuriser leurs infrastructures contre de telles menaces.
L’attaque LANDFALL illustre une fois de plus le défi persistant que posent les vulnérabilités zero-day dans le domaine de la cybersécurité. La capacité du spyware à opérer sans clic et à contourner les mesures de sécurité standard souligne la nécessité d’une vigilance continue et d’une adoption rapide des correctifs de sécurité. Les entreprises sont encouragées à examiner régulièrement leur infrastructure pour détecter et corriger les vulnérabilités potentielles, assurant ainsi une défense robuste contre les menaces émergentes.
💡 Ne manquez plus l'essentiel
Recevez les analyses et tendances cybersécurité directement dans votre boîte mail.
💡 Note : Certaines images ou extraits présents dans cet article proviennent de sources externes citées à des fins d’illustration ou de veille. Ce site est indépendant et à but non lucratif. 👉 En savoir plus sur notre cadre d’utilisation.
Vous appréciez ces analyses ?
Soutenez DCOD en offrant un café ☕
