Uma grande campanha de espionagem explorou uma vulnerabilidade crítica no Galaxy S22, S23 e S24 durante quase um ano. O pior? A infecção pode ser feita sem você clicar em nada.
Os pesquisadores de Redes Palo Alto acabamos de falar publicamente sobre a existência do “Landfall”, spyware Android que visava especificamente os telefones Samsung Galaxy entre julho de 2024 e fevereiro de 2025.
Para ir mais longe
Como proteger seu smartphone, tablet ou PC? O guia definitivo!
A técnica de ataque é particularmente cruel: bastava receber uma imagem armadilhada, provavelmente via WhatsApp, para comprometer completamente o seu dispositivo. Não há necessidade de clicar, não há necessidade de instalar nada. Basta receber um arquivo DNG (formato de imagem bruta) malicioso.
A Samsung corrigiu a falha (CVE-2025-21042) em abril de 2025, mas os detalhes desta campanha permaneceram desconhecidos até agora.
Um ataque sem clique que visa indivíduos específicos
O termo “dia zero” significa que a Samsung não tinha conhecimento da existência desta falha no momento em que foi explorada. Os atacantes tinham, portanto, uma vantagem decisiva. A vulnerabilidade estava aninhada em uma biblioteca de processamento de imagens (“libimagecodec.quram.so”) e permitia a execução remota de código.
A análise técnica mostra uma complexidade preocupante: os arquivos DNG maliciosos continham um arquivo ZIP oculto no final, junto com o spyware e uma ferramenta para manipular as permissões do sistema SELinux. Em outras palavras: os invasores contornaram cirurgicamente as proteções do Android.
Os alvos? Principalmente indivíduos no Médio Oriente (Iraque, Irão, Turquia, Marrocos) de acordo com dados de VirusTotal. Os pesquisadores estão falando sobre “ataques de precisão”, e não sobre malware distribuído em massa. Basicamente, alguém estava pagando muito dinheiro para espionar pessoas específicas. Jornalistas, ativistas, dissidentes? Os investigadores continuam cautelosos quanto à atribuição, mas as pistas apontam para motivações de espionagem governamental.
Um arsenal total de vigilância
Uma vez instalado, Landfall transforma seu Galaxy em um espião completo:
- Gravação de áudio via microfone continuamente
- Geolocalização precisa das suas viagens
- Extração completa de suas fotos, SMS, contatos e histórico de chamadas
- Acesso a arquivos armazenado no dispositivo
- Comunicação criptografada com servidores de comando para receber instruções
O spyware tinha como alvo específico cinco modelos: Galaxy S22, S23, S24, Z Fold 4 e Z Flip 4. Portanto, não é o Galaxy S25 mais recente, mas uma ampla gama de dispositivos de última geração ainda amplamente utilizados. Os pesquisadores acreditam que a vulnerabilidade também pode afetar outros modelos Galaxy rodando Android 13 a 15.
O que chama a atenção é a modularidade do sistema. Landfall não é um spyware monolítico, mas uma “estrutura” capaz de baixar módulos adicionais de seus servidores. Os investigadores não conseguiram analisar estes componentes adicionais, mas é fácil imaginar que ampliaram ainda mais as capacidades de vigilância.
Links preocupantes para Stealth Falcon
A Unidade 42 identificou semelhanças de infraestrutura entre Landfall e Falcão Furtivoum provedor de vigilância conhecido por ter como alvo jornalistas e ativistas dos Emirados já em 2012. Os mesmos padrões de registro de domínio, servidores de comando semelhantes.
Mas os investigadores permanecem cautelosos: estes índices não são suficientes para atribuir claramente a campanha a um governo específico. O Médio Oriente está repleto de países com capacidades cibernéticas ofensivas desenvolvidas e o mercado da vigilância comercial é opaco.
O que é certo é que a Equipe Nacional Turca de Cibersegurança (USOM) sinalizou um dos endereços IP usados pelo Landfall como malicioso. Isto confirma que indivíduos em Türkiye foram de facto visados.
Samsung e a problemática comunicação de dia zero
A Samsung corrigiu a falha em abril de 2025 sem mencionar publicamente que ela estava sendo explorada ativamente. É um padrão recorrente na indústria: minimizar a comunicação sobre vulnerabilidades críticas para evitar o pânico, correndo o risco de deixar milhões de usuários no escuro.
O problema? Outra falha na mesma biblioteca (CVE-2025-21043) foi explorada publicamente em setembro de 2025. Duas vulnerabilidades de dia zero no mesmo componente em questão de meses estão começando a parecer um problema estrutural de segurança de código.
Para ir mais longe
Como proteger seu smartphone, tablet ou PC? O guia definitivo!
Junte-se a nós das 17h às 19h, todas as quartas-feiras alternadas, para o show DESBLOQUEAR produzido por Frandroid E Numerama ! Notícias de tecnologia, entrevistas, dicas e análises… Vejo você ao vivo no Twitch ou retransmissão no YouTube!