Un logiciel malveillant a compromis des données sur les Samsung Galaxy pendant près d’un an
Une opération d’espionnage numérique d’une rare discrétion a ciblé pendant plusieurs mois des appareils Samsung Galaxy, révélant à la communauté sécurité une sophistication remarquable dans l’écosystème Android. Le programme malveillant, baptisé Landfall, est parvenu à infiltrer de nombreux smartphones sans éveiller l’attention jusqu’à sa mise hors service.
Des analystes en cybersécurité ont suivi minutieusement la trajectoire de cette attaque, laquelle a visé de façon exclusive différentes générations de terminaux du constructeur sud-coréen. Les modèles affectés incluent notamment les Galaxy S23, S24, S22, Z Fold 4 et Z Flip 4 fonctionnant sous Android 13, 14, 15 ou 16. L’exploitation reposait sur une vulnérabilité zero day, référencée CVE-2025-21042, demeurée inconnue de Samsung lors de son exploitation, ce qui a permis au malware d’agir sans entrave entre juillet 2024 et avril 2025.
Cette faille, désormais corrigée, a permis à Landfall de s’introduire dans la bibliothèque de traitement d’images intégrée à l’environnement logiciel One UI de Samsung. L’attaque reposait sur l’envoi de fichiers DNG modifiés, qui servaient de vecteurs à un code malicieux particulièrement difficile à détecter.
Malware et exploitation d’une bibliothèque d’images Samsung Galaxy
L’ingéniosité de l’opération résidait dans le fait que les images infectées, façonnées pour paraître comme de banales photos reçues par WhatsApp, pouvaient déclencher l’infection sans même que l’utilisateur ait à ouvrir le fichier. Des chercheurs ont précisé que la technique usurpait l’apparence de clichés ordinaires, induisant ainsi une prise de contrôle quasi silencieuse du terminal.
Selon Itay Cohen, principal analyste chez Unit 42, « Nous pensons qu’il s’agissait d’une campagne d’espionnage de précision visant des Galaxy au Moyen-Orient », citant l’identification de cibles potentielles en Irak, en Iran, en Turquie, et même au Maroc. Cette dimension géographique souligne une stratégie d’attaque à la fois sélective et ciblée.
Une fois installé sur le dispositif, Landfall ouvrait un accès étendu au contenu de l’appareil : enregistrement des communications vocales, accès continu à la géolocalisation, exfiltration de photos, messages, contacts et historiques d’appels. **Les fonctions de défense internes d’Android pouvaient également être neutralisées**, augmentant la persistance du logiciel espion.
Campagne de cyberespionnage mobile et vulnérabilité zero day
Après sa prise de contrôle, le malware communiquait avec une infrastructure de commande externe. Comme l’affirme Unit 42 : « La qualité de l’outil et sa capacité à rester furtif montrent un opérateur hautement doté, pas un groupe criminel lambda ». On observe ici la marque de groupes disposant de ressources significatives, loin des modes opératoires habituels du cybercrime opportuniste.
Le mode opératoire de Landfall présente des similitudes frappantes avec une vulnérabilité traitée récemment par Apple sur ses propres solutions de traitement d’images. Les deux affaires mettent en lumière l’émergence d’une tendance : l’exploitation du format DNG pour contourner des couches de sécurité sur plusieurs plateformes mobiles, souvent par le biais de messageries populaires comme WhatsApp.
Les experts attirent l’attention sur la portée de cette nouvelle méthodologie : « Le timing, les similarités techniques et la méthode de livraison montrent qu’un même courant d’attaques, fondé sur l’exploitation du format DNG, circule désormais sur plusieurs plateformes mobiles ».
Évolution des menaces mobiles et correctifs de sécurité Android
Face à la complexité croissante de telles attaques, il est impératif pour les utilisateurs d’appareils Galaxy de maintenir leurs smartphones constamment à jour. Le contournement des protections souligne l’urgence d’un cycle de correctifs accéléré, alors que les campagnes de ce type tendent à se multiplier et à gagner en efficacité.
