Investigadores de Palo Alto Networks han documentado LandFall, una plataforma de espionaje móvil que aprovechó durante al menos nueve meses una vulnerabilidad 0‑day en dispositivos Samsung Galaxy. El vector de entrada fue particularmente sigiloso: imágenes DNG entregadas por WhatsApp, capaces de activar la ejecución de código sin interacción del usuario. El parche correctivo de Samsung llegó en abril de 2025, tras una campaña activa desde julio de 2024.
Vulnerabilidad CVE‑2025‑21042 en libimagecodec.quram.so: ejecución de código al parsear imágenes
El fallo, identificado como CVE‑2025‑21042 con puntuación CVSS 8.8, reside en la biblioteca de procesamiento de imágenes libimagecodec.quram.so. Se trata de un out‑of‑bounds write que permite ejecución remota de código (RCE) durante el análisis de imágenes maliciosas, sin requerir clics adicionales. Según el informe, el fabricante solucionó el problema en las actualizaciones de seguridad de abril de 2025.
Cadena de infección “casi zero‑click” vía WhatsApp y formato DNG
El acceso inicial se lograba enviando un archivo DNG que incluía un ZIP encubierto con los componentes del malware. Al iniciar el sistema el procesamiento del contenido para generar la previsualización, el exploit desencadenaba la ejecución del código antes de cualquier interacción del usuario, un escenario favorecido por la gestión automática de medios en aplicaciones de mensajería.
Por qué DNG es un vector atractivo para los atacantes
DNG, un formato “RAW” con metadatos extensos, depende de parsers complejos y heterogéneos que amplían la superficie de ataque. El uso ofensivo de DNG no es nuevo: campañas recientes explotaron debilidades análogas en iOS (CVE‑2025‑43300) y en WhatsApp (CVE‑2025‑55177), consolidando una tendencia de exploits en códecs multimedia como vectores de compromiso silenciosos.
Alcance operativo: países objetivo, modelos afectados e infraestructura C2
Las muestras asociadas a LandFall aparecen en VirusTotal desde el 23 de julio de 2024, con un patrón constante de entrega vía WhatsApp. La telemetría indica actividad dirigida en Irak, Irán, Turquía y Marruecos. Entre los dispositivos impactados figuran Galaxy S22, S23, S24 y los plegables Z Fold 4 y Z Flip 4, mientras que la serie S25 no mostró afectación en el análisis. Se identificaron seis servidores de mando y control (C2), algunos previamente marcados como maliciosos por el CERT de Turquía.
Arquitectura de LandFall: módulos, persistencia y recolección de datos
La plataforma integra dos módulos principales. b.so actúa como loader, capaz de descargar plugins adicionales bajo demanda. l.so modifica políticas de SELinux, facilitando el escalado de privilegios y la persistencia. Tras la infección, el operador obtiene un amplio inventario del dispositivo: IMEI, IMSI, número de SIM, datos de cuenta, información Bluetooth, geolocalización y lista de apps instaladas, además de funciones para vigilancia encubierta y control remoto.
Atribución: indicios de una cadena comercial de vigilancia
Los investigadores sitúan a LandFall dentro del ecosistema de spyware comercial orientado a objetivos seleccionados. Aunque no hay atribución definitiva, la infraestructura y la nomenclatura de componentes (por ejemplo, “Bridge Head”) recuerdan a patrones observados en marcos asociados a Stealth Falcon y a proveedores como NSO Group, Variston, Cytrox o Quadream. Estas coincidencias no constituyen prueba concluyente, pero apuntan a una capacidad de desarrollo profesional.
Medidas de mitigación y respuesta para empresas y usuarios
Actualizar de inmediato: aplicar los parches de seguridad de abril de 2025 o posteriores que corrigen CVE‑2025‑21042. Endurecer la gestión de medios: desactivar la descarga/guardado automático en WhatsApp y otros mensajeros. Monitorización avanzada: vigilar cambios en SELinux, tráfico a dominios/C2 desconocidos y la integridad (hash) de bibliotecas críticas. MDM/EDR para Android: aplicar privilegios mínimos y bloquear módulos de terceros. Threat hunting: revisar los IoC publicados y realizar análisis retrospectivo desde julio de 2024.
Las campañas contra códecs multimedia consolidan a los exploit chains “sin clic” como un riesgo real para la seguridad móvil. Reducir la ventana 0‑day con parches ágiles, minimizar la confianza en archivos entrantes y reforzar la telemetría del dispositivo son pasos decisivos. Actualiza hoy tus equipos, revisa políticas de medios y habilita monitoreo proactivo para cortar la persistencia antes de que se traduzca en pérdida de datos o espionaje sostenido.
