Netcrook Logo
👤 CIPHERWARDEN
🗓️ 08 Nov 2025   🗂️ Threats    

Spionaggio Zero-Click: La Campagna di Spyware LANDFALL Svelata

Una campagna di spyware Android furtiva, probabilmente nata dall’industria della sorveglianza commerciale, ha preso di mira in silenzio gli utenti Samsung Galaxy in tutto il Medio Oriente per mesi.

Fatti Rapidi

  • Lo spyware LANDFALL ha sfruttato una vulnerabilità precedentemente sconosciuta nei telefoni Samsung Galaxy.
  • La campagna è durata nove mesi e ha colpito principalmente utenti in Medio Oriente.
  • Gli aggressori hanno inviato file immagine dannosi, probabilmente tramite WhatsApp, senza richiedere alcuna interazione da parte dell’utente.
  • Samsung ha corretto la vulnerabilità nell’aprile 2025, mesi dopo la segnalazione.
  • LANDFALL condivide tattiche con spyware commerciali noti legati a interessi governativi regionali.

Un’Invasione Silenziosa: Come LANDFALL Ha Violato le Difese

Immagina di svegliarti e scoprire che qualcuno ha infilato una lettera sotto la tua porta - così ben camuffata che non te ne sei nemmeno accorto. Per centinaia, forse migliaia, di utenti Samsung Galaxy in Medio Oriente, questa è stata la realtà. In un periodo di nove mesi, una nuova generazione di spyware Android, chiamata LANDFALL, ha infiltrato i dispositivi sfruttando una falla nascosta nel sistema di elaborazione delle immagini di Samsung. La particolarità? Le vittime non dovevano nemmeno cliccare nulla - l’attacco poteva essere eseguito non appena un’immagine dannosa arrivava, forse tramite una comune app di messaggistica come WhatsApp.

L’Anatomia di un Attacco Zero-Click

L’arma scelta da LANDFALL era un file immagine Digital Negative (DNG) compromesso. Nascosto alla fine di questi file c’era un archivio occultato - come un cavallo di Troia - progettato per ingannare il software del telefono e aprire una backdoor. Questa vulnerabilità zero-day, sconosciuta a Samsung all’epoca, permetteva agli aggressori di attivare silenziosamente il microfono, tracciare la posizione, registrare chiamate e sottrarre foto, messaggi, contatti e registri delle chiamate. La campagna era chirurgica nella sua precisione, riecheggiando schemi già visti negli spyware commerciali utilizzati da governi e aziende di sorveglianza private.

Spyware Commerciale: Il Mercato Ombra

Lo spyware commerciale è un grande affare, spesso operante in una zona grigia legale dove la sorveglianza incontra il profitto. L’infrastruttura e le tecniche operative di LANDFALL mostrano una sorprendente somiglianza con quelle impiegate da Stealth Falcon, un gruppo con presunti legami con gli Emirati Arabi Uniti e una storia di attacchi a dissidenti e giornalisti. Sebbene i collegamenti diretti non siano stati provati, le somiglianze suggeriscono che LANDFALL possa essere un altro prodotto della crescente industria privata dello spyware, dove gli strumenti vengono venduti al miglior offerente - spesso attori statali con grandi risorse e motivazioni politiche.

Un Modello di Silenzio e Ritardo

La vulnerabilità è stata segnalata privatamente a Samsung nel settembre 2024, ma la correzione è arrivata solo nell’aprile 2025. Nel frattempo, gli aggressori hanno preso di mira dispositivi Galaxy di fascia alta, tra cui ZFOLD4, ZFlip4 e i modelli dalla S22 alla S24. I team di sicurezza in Turchia hanno segnalato i server di comando di LANDFALL come dannosi, suggerendo che anche vittime turche si siano aggiunte a quelle in Iraq, Iran e Marocco. La reale portata dell’operazione - e l’identità dei responsabili - restano un mistero.

LANDFALL è un chiaro promemoria che, nel mondo digitale di oggi, le minacce più pericolose sono spesso quelle che non si vedono arrivare. Con lo spyware commerciale che diventa sempre più sofisticato e accessibile, il confine tra spionaggio mirato e sorveglianza di massa si fa sempre più sottile. Per utenti e produttori, vigilanza e risposta rapida non sono più opzionali - sono il prezzo della privacy.

WIKICROOK

  • Zero: Una vulnerabilità zero-day è una falla di sicurezza nascosta e sconosciuta al produttore del software, senza una correzione disponibile, il che la rende estremamente preziosa e pericolosa per gli aggressori.
  • Zero: Una vulnerabilità zero-day è una falla di sicurezza nascosta e sconosciuta al produttore del software, senza una correzione disponibile, il che la rende estremamente preziosa e pericolosa per gli aggressori.
  • Server di Comando e Controllo (C2): Un server di Comando e Controllo (C2) gestisce da remoto dispositivi infettati da malware, inviando istruzioni e ricevendo dati rubati dai sistemi compromessi.
  • Immagine Digital Negative (DNG): Un’immagine Digital Negative (DNG) è un formato di file fotografico che memorizza dati aggiuntivi e, se usato impropriamente, può essere sfruttato per nascondere malware.
  • Spyware Commerciale: Lo spyware commerciale è un software venduto alle organizzazioni per monitorare dispositivi, spesso per motivi di sicurezza, ma può essere abusato per sorveglianza non autorizzata e violazioni della privacy.
CIPHERWARDEN CIPHERWARDEN
Cyber Encryption Architect
← Back to news