LandFall : le spyware qui exploite une faille zéro-jour Samsung via WhatsApp

Théophane Villedieu

LandFall : le spyware qui exploite une faille zéro-jour Samsung via WhatsApp

Dans un paysage cybermenacé en constante évolution, une nouvelle menace inquiète les propriétaires de smartphones Samsung : le spyware LandFall. Ce malware sophistiqué a récemment été identifié comme ayant exploité une faille zéro-jour critique dans la bibliothèque de traitement d’images Android de Samsung, principalement via des messages WhatsApp contenant des images malveillantes. Selon les chercheurs de Palo Alto Networks’ Unit 42, cette campagne ciblée a été active depuis au moins juillet 2024, touchant sélectivement des utilisateurs de Samsung Galaxy dans la région Moyen-Orient.

La faille, identifiée sous le nom CVE-2025-21042, représente un risque majeur car elle permet à un attaquant distant d’exécuter du code arbitraire sur un appareil vulnérable simplement en envoyant une image manipulée.

Néanmoins, une bonne nouvelle : Samsung a corrigé cette vulnérabilité en avril 2025. Cependant, la découverte de cette campagne d’espionnage montre à quel point les acteurs de la menace continuent d’innover pour compromettre nos appareils mobiles, même ceux considérés comme sécurisés. Comprendre le fonctionnement de LandFall et ses implications est essentiel pour toute personne souhaitant protéger ses données sensibles sur smartphone.

La faille CVE-2025-21042 : détails techniques et impact

La vulnérabilité exploitée par LandFall, référencée CVE-2025-21042, est une faille de type out-of-bounds write dans le fichier libimagecodec.quram.so, une composante essentielle du système de traitement d’images de Samsung pour Android. Cette bibliothèque est responsable du rendu et du traitement des divers formats d’images sur les appareils Samsung, y compris le format DNG (Digital Negative) utilisé par les appareils photo de la marque.

Selon l’évaluation des risques menée par les chercheurs, cette faille présente une gravité critique, ce qui signifie qu’elle peut être exploitée de manière fiable sans interaction utilisateur supplémentaire au-delà de la simple visualisation d’une image. En pratique, un attaquant peut créer une image spécialement conçue qui, une fois chargée par libimagecodec.quram.so, écrase des zones mémoire adjacentes de manière contrôlée, lui permettant ainsi d’exécuter du code arbitraire avec les permissions de l’application image.

Dans la pratique, cette technique d’exploitation est particulièrement dangereuse car elle ne nécessite aucune autorisation spéciale de l’utilisateur. L’ouverture d’une image dans n’importe quelle application capable d’afficher les formats supportés par Samsung (y compris la galerie native, WhatsApp ou d’autres messageries) suffit pour déclencher l’exécution du code malveillant.

Selon les données de l’ANSSI, les failles de type out-of-bounds write représentent environ 15% des vulnérabilités critiques découvertes sur les systèmes mobiles en 2025, ce qui en fait une catégorie d’attaques particulièrement préoccupante pour les fabricants et les utilisateurs.

Mécanisme d’infection : comment le spyware se propage

Le mécanisme d’infection de LandFall est particulièrement ingénieux et représente une évolution notable dans les techniques d’injection de spyware via les applications de messagerie. Au lieu de se propager par des liens malveillants ou des pièces jointes traditionnelles, les attaquants ont exploité une faille dans le traitement des images pour injecter leur charge utile directement dans un fichier image apparemment inoffensif.

L’attaque commence avec la livraison d’une image au format .DNG (Digital Negative) dans laquelle est intégré un fichier .ZIP compressé vers la fin du fichier. Cette technique de dissimulation est particulièrement efficace car les fichiers DNG sont des formats bruts d’appareil photo qui contiennent souvent des métadonnées et des structures de données complexes, ce qui facilite le masquage de code malveillant.

Lorsque l’image est ouverte, le système tente de la traiter via libimagecodec.quram.so, ce qui déclenche l’exploitation de la faille CVE-2025-21042. Le résultat est l’exécution de code malveillant avec des privilèges élevés sur l’appareil.

Une fois l’exploitation réussie, deux composants principaux sont déployés :

  1. Un loader nommé b.so qui peut récupérer et charger des modules supplémentaires depuis un serveur distant
  2. Un manipulateur de politique SELinux nommé l.so qui modifie les paramètres de sécurité de l’appareil pour éléver les permissions et établir une persistance

Le flux d’infection peut être résumé comme suit :

  1. Envoi d’une image DNG malveillée via WhatsApp
  2. Exploitation de la faille lors du traitement de l’image
  3. Exécution du loader (b.so)
  4. Manipulation des paramètres SELinux pour obtenir des privilèges élevés
  5. Téléchargement et exécution du spyware complet
  6. Établissement d’une persistance sur l’appareil

Selon les chercheurs de Unit 42, ce type d’exploitation de fichiers image représente une tendance croissante dans les attaques ciblées, avec au moins trois cas similaires documentés en 2025 sur différentes plateformes et applications.

Capacités d’espionnage du malware LandFall

Une fois installé sur un appareil compromis, le spyware LandFall possède des capacités d’espionnage étendues qui en font une menace particulièrement dangereuse pour les utilisateurs professionnels et gouvernementaux. Contrairement à beaucoup de malwares mobiles qui se concentrent sur le vol de données d’identification, LandFall est conçu pour une surveillance complète de l’utilisateur et de ses activités.

Les fonctionnalités d’espionnage de LandFall incluent :

  • Enregistrement audio : activation à distance du microphone pour enregistrer les conversations environnantes
  • Surveillance des communications : enregistrement des appels téléphoniques entrants et sortants
  • Suivi de localisation : suivi continu de la position géographique de l’utilisateur via GPS et autres capteurs
  • Accès aux données personnelles : consultation des photos, contacts, messages SMS, journaux d’appels et fichiers stockés
  • Vol d’informations de navigation : accès à l’historique de navigation web et aux données des applications

Le malware peut également collecter des informations spécifiques sur l’appareil et l’utilisateur pour le profilage et la personnalisation des attaques :

  • Identifiants matériels (IMEI, IMSI)
  • Numéro de carte SIM
  • Comptes utilisateur
  • Appareils Bluetooth détectés
  • Services de localisation activés
  • Liste des applications installées

Selon les analyses menées par Unit 42, LandFall utilise une architecture modulaire lui permettant de charger des fonctionnalités supplémentaires à la demande. Cette conception non seulement réduit la taille initiale du malware, mais permet également aux attaquants d’ajouter ou de modifier des capacités sans nécessiter de redistribuer complètement le malware.

Dans la pratique, cette approche modulaire rend la détection et l’analyse du spyware particulièrement difficiles pour les solutions de sécurité traditionnelles, qui ne peuvent identifier que les composants actifs au moment de l’analyse.

Appareils concernés et cibles visées

LandFall n’est pas un malware qui infecte aléatoirement les appareils Android ; au contraire, il représente une campagne ciblée avec des objectifs spécifiques. Selon les analyses des chercheurs, les attaquants ont concentré leurs efforts sur une sélection précise de modèles Samsung Galaxy, en particulier les séries haut de gamme les plus récents.

Les appareils identifiés comme étant vulnérables et potentiellement ciblés par LandFall incluent :

  • Samsung Galaxy S22
  • Samsung Galaxy S23
  • Samsung Galaxy S24
  • Samsung Galaxy Z Fold 4
  • Samsung Galaxy Z Flip 4

Il est intéressant de noter que les appareils les plus récents, comme la série Galaxy S25, ne semblent pas concernés par cette campagne d’espionnage. Cette exclusion suggère soit que la faille exploitée ne touche pas ces modèles, soit que les attaquants ont délibérément choisi de ne pas cibler les tout derniers appareils, peut-être par crainte d’une détection plus rapide par les équipes de sécurité de Samsung.

En termes de géographie, les chercheurs ont pu identifier des indicateurs de compromission qui pointent vers des cibles potentielles en Irak, Iran, Turquie et Maroc. Ces pays, situés dans la région Moyen-Orient et Afrique du Nord (MENA), correspondent à des zones où la surveillance ciblée par des acteurs étatiques ou commerciaux est particulièrement active.

L’analyse des serveurs de commandement et de contrôle (C2) utilisés par LandFall a révélé six serveurs distincts, certains ayant déjà été signalés comme malveillants par le CERT turc. Les motifs d’enregistrement de domaine et les schémas d’infrastructure présentent des similitudes avec ceux observés dans les opérations de groupe d’acteurs menées par les Émirats Arabes Unis, bien qu’aucune attribution définitive n’ait pu être établie.

Le nom “Bridge Head” utilisé pour le composant loader de LandFall est une convention de dénomination fréquemment observée dans les produits de surveillance commerciale de fournisseurs tels que NSO Group, Variston, Cytrox et Quadream.

Cette connexion potentielle avec l’écosystème de la surveillance commerciale suggère que LandFall pourrait être un framework d’espionnage développé par ou pour un acteur étatique, destiné à des intrusions hautement ciblées plutôt qu’à une distribution massive.

Protection et prévention : comment se prémunir contre ce type d’attaque

Face à des menaces sophistiquées comme LandFall, la protection de ses données personnelles et professionnelles sur smartphone nécessite une approche multicouche. Bien que Samsung ait déjà corrigé la faille spécifique exploitée, d’autres vulnérabilités similaires pourraient exister, et de nouvelles techniques d’exploitation émergent constamment.

Mesures de protection immédiates

  1. Mise à jour régulière des appareils : Assurez-vous que votre appareil Samsung exécute la version la plus récente du système d’exploitation et des correctifs de sécurité. Samsung a publié un correctif pour CVE-2025-21042 en avril 2025, et il est essentiel d’appliquer ces mises à jour dès leur disponibilité.

  2. Désactivation du téléchargement automatique des médias : Dans WhatsApp et autres applications de messagerie, désactivez l’option de téléchargement automatique des images et des vidéos. Cela réduit considérablement le risque d’exposition à des images malveillantes sans interaction directe.

  3. Activation des fonctionnalités de protection avancée : Sur les appareils récents, activez les fonctionnalités de protection avancée d’Android, comme la “Protection Avancée” introduite dans Android 16, qui offre une sécurité au niveau du périphérique.

  4. Examen attentif des images reçues : Soyez particulièrement prudent lorsque vous recevez des images de sources inconnues ou non vérifiées, même si elles semblent provenir de contacts de confiance (les comptes peuvent être compromis).

Bonnes pratiques de sécurité mobile

  • Utilisation d’applications de sécurité réputées : Installez une solution de sécurité mobile à jour provenant d’un fournisseur de confiance pour détecter et bloquer les menaces potentielles.
  • Restriction des permissions des applications : Accordez uniquement les permissions strictement nécessaires au fonctionnement des applications et révisez régulièrement les permissions accordées.
  • Activation du mode de verrouillage : Sur iOS, activez le “Mode de confinement” (Lockdown Mode) qui offre une protection renforcée contre les attaques sophistiquées, potentiellement similaires à LandFall.
  • Sauvegardes régulières : Effectuez des sauvegardes régulières de vos données importantes, idéalement chiffrées, afin de pouvoir récupérer vos informations même en cas d’infection.

Réponse en cas de compromission suspecté

Si vous suspectez que votre appareil a été infecté par un spyware comme LandFall :

  1. Isolez l’appareil du réseau (activez le mode avion)
  2. Effectuez une analyse complète avec un outil de sécurité réputé
  3. Contactez un expert en sécurité pour une analyse approfondie
  4. Réinitialisez l’appareil en usine après avoir sauvegardé vos données importantes
  5. Modifiez tous vos mots de passe depuis un appareil sécurisé

Selon les recommandations de l’ANSSI, la prévention reste la meilleure défense contre les spywares avancés. Une approche proactive de la sécurité mobile, combinée à une vigilance constante concernant les messages et fichiers reçus, peut considérablement réduire le risque d’infection.

Conclusion : implications pour la sécurité mobile

L’émergence du spyware LandFall et son exploitation d’une faille zéro-jour dans les appareils Samsung représentent une nouvelle illustration de la sophistication croissante des menaces ciblées contre les utilisateurs de smartphones. Cette campagne démontre comment des vulnérabilités critiques peuvent être exploitées via des applications de communication populaires comme WhatsApp pour déployer des capacités d’espionnage complètes et difficiles à détecter.

Face à ces défis, la collaboration entre fabricants, chercheurs en sécurité et utilisateurs finaux est plus cruciale que jamais. Samsung a réagi rapidement en corrigeant la faille, mais la nature même des attaques zéro-jour garantit que de nouvelles menaces émergeront continuellement. Les utilisateurs doivent adopter une approche proactive de la sécurité mobile, en combinant les mises à jour régulières, la restriction des permissions et une vigilance accrue concernant les contenus reçus.

Dans le contexte français, où la protection des données personnelles est encadrée par le RGPD, une infection par un spyware comme LandFall pourrait avoir des implications juridiques graves pour les victimes, en particulier si des données sensibles sont collectées et partagées sans consentement. La CNIL recommande fortement aux organisations de mettre en place des politiques de sécurité mobile robustes et de sensibiliser leurs collaborateurs aux risques d’espionnage numérique.

À mesure que nos appareils mobiles deviennent de plus en plus intégrés à notre vie personnelle et professionnelle, la protection contre les menaces comme LandFall cesse d’être une simple préoccupation technique pour devenir une nécessité fondamentale pour la préservation de notre vie privée et de notre sécurité numérique.