Si vous avez un Samsung Galaxy, ce logiciel malveillant a peut-être volé vos données pendant un an

Suivez-nous Ajouter Buzzarena à vos sources

Pendant près d’un an, une faille des smartphones Galaxy de Samsung a été exploitée par un logiciel malveillant appelé Landfall. Ce programme ciblait les smartphones Samsung au Moyen-Orient pour de l’espionnage.

Samsung Galaxy malware Landfall
© Unsplash

Si les malwares Android sont souvent visés par des attaques, celle-ci ciblait très exactement les Galaxy de Samsung. Landfall permet d’enregistrer les appels téléphoniques, de suivre l’utilisateur en direct ou encore de récupérer des photos et informations sensibles sans que les victimes ne soient au courant.

À lire : Voici notre sélection des meilleurs smartphones Galaxy

Les Galaxy ont été ciblés par une attaque discrète pendant un an

La faille a été corrigée en avril 2025 par Samsung alors que la première attaque a sûrement été lancée en juillet 2024, selon les chercheurs de Unit 42, division sécurité de Palo Alto Networks. Ce sont eux qui ont découvert l’ampleur de cet espionnage et publié leurs conclusions.

La vulnérabilité exploitée par les pirates s’appelle CVE-2025-21042 et touche la bibliothèque de traitement d’images des appareils Galaxy. Plus exactement, ce sont les smartphones Samsung sous Android 13, Android 14, Android 15 et même Android 16, dernière version du système d’exploitation, qui sont ciblés. L’attaque ne demandait aucune interaction de la part de l’utilisateur puisqu’on parle d’une faille zero-clic. L’infection était très simple : il suffisait pour le pirate d’envoyer une image piégée via une application de messagerie.

Samsung Galaxy malware Landfall (1)
© Unsplash

Itay Cohen, chercheur principal senior chez Unit 42, déclare : « Il s’agissait d’une campagne d’espionnage de précision ciblant des appareils Samsung Galaxy spécifiques au Moyen-Orient, avec des victimes probables en Irak, Iran, Turquie et Maroc. L’utilisation d’exploits zero-day, d’infrastructures personnalisées et de conceptions modulaires de charges utiles indiquent tous une opération motivée par l’espionnage. »

On ne sait pas combien de personnes ont été victimes de Landfall, mais l’expert a sa petite idée : « Ce n’est pas clair exactement combien de personnes ont été ciblées ou exploitées, mais dans une campagne récente et liée impliquant iOS et WhatsApp, WhatsApp a partagé que moins de 200 ont été ciblées dans cette campagne, donc nous pouvons raisonnablement nous attendre à un volume très similaire. »

Pour rappel, c’est en août dernier qu’Apple a corrigé une faille appelée CVE-2025-43300. Il s’agissait d’une vulnérabilité dans le framework ImageIO utilisé par les iPhone et iPad. Meta a aussi signalé une faille de sécurité de WhatsApp appelée CVE-2025-55177. Les attaques qui ciblaient Apple et Meta étaient liées. Les équipes de sécurité des deux entreprises en ont profité pour identifier et signaler à Samsung une autre vulnérabilité zero-day sur les appareils Galaxy en août. Depuis, en septembre, la firme coréenne a déployé un correctif sous la référence CVE-2025-21043.

Quels pirates sont à l’origine de l’attaque Landfall ?

Même si toutes ces attaques ont beaucoup de similitudes, Unit 42 ne peut pas les relier avec Landfall : « Nous n’avons pas de preuves pour confirmer que Landfall lui-même a été utilisé avec CVE-2025-21043, ni si CVE-2025-43300 a été utilisé pour livrer un équivalent de Landfall à iOS, ni ne pouvons dire que le même acteur était responsable. Cela dit, le timing proche, la méthode de livraison et les parallèles techniques clairs pointent vers une vague plus large d’exploitation des bibliothèques d’analyse d’images des OS mobiles utilisées dans des opérations avancées de logiciels espions. »

Selon les chercheurs, la faille CVE-2025-21042 n’est probablement plus utilisée à l’heure actuelle. Mais une fois installé sur le smartphone Galaxy, Landfall lance son espionnage tout en restant invisible. L’identité précise des pirates est incertaine, faute de preuves suffisantes. Unit 42 a toutefois repéré des similitudes avec Stealth Falcon.

Un groupe qui serait en lien avec le gouvernement des Émirats arabes unis et mènerait des attaques ciblées par logiciels espions contre des journalistes, militants et dissidents émiratis depuis au moins 2012. « Les chevauchements techniques sont intrigants, mais pas assez forts pour une attribution responsable. Ce qui est clair, c’est que le savoir-faire, la qualité de l’outillage et l’adaptation spécifique à la cible pointent vers un opérateur hautement doté en ressources, pas un groupe criminel », a déclaré Itay Cohen.

  • Pendant près d’un an, une faille des Galaxy (CVE-2025-21042) a été exploitée par le spyware Landfall via une image piégée zéro-clic, surtout au Moyen-Orient, puis corrigée en avril 2025.
  • Landfall enregistrait les appels, traçait la position en temps réel et volait photos et données sensibles, avec un volume d’attaques ciblées a priori limité.
  • Unit 42 évoque un acteur très sophistiqué avec des similitudes non prouvées avec Stealth Falcon.

Source : The Register

Vous appréciez notre contenu ?
👉 Soutenez-nous en nous suivant sur Google et ne manquez plus aucun article, promo ou bon plan exclusif !
G Suivez-nous sur Google
Bernard David Corroy
Bernard David Corroy

Grand passionné du numérique et des nouvelles technologies, je suis un geek dans l’âme depuis 1998 avec beaucoup d’appétence pour l’innovation et les défis techniques. Mon aventure dans le digital a débuté quand internet n’en était qu’à ses débuts.

Réagissez à cet article !

Vous aimerez aussi
Derniers articles