Basta una foto para tomar el control del móvil: descubren un virus que durante años espió a usuarios de Samsung explotando una vulnerabilidad zero‑day

El software espía de nueva generación operó durante casi un año, ocultándose dentro de teléfonos Samsung Galaxy y explotando una vulnerabilidad que el fabricante desconocía. Investigadores de Palo Alto Networks Unit 42 informaron que un malware llamado Landfall explotaba un error crítico en la biblioteca de procesamiento de imágenes de los dispositivos Samsung e instalaba un sistema de vigilancia completo: interceptaba llamadas, rastreaba desplazamientos, copiaba fotografías y registros del sistema, sin dejar rastro en la pantalla. El problema se solucionó solo en abril, cuando la compañía lanzó una actualización de seguridad que cerró la brecha CVE-2025-21042.

Según los analistas, las infecciones comenzaron en julio de 2024 y afectaron a modelos que ejecutan Android 13–16. La vulnerabilidad permitía a los atacantes enviar imágenes especialmente manipuladas que activaban el malware sin intervención del propietario —el llamado ataque de 'toque cero'—. Bastaba con que la imagen llegara al dispositivo por un mensajero o cliente de correo para que el proceso de infección se realizara de forma automática. Los analistas suponen que la campaña tenía como objetivo teléfonos concretos en países de Oriente Medio, incluidos Irak, Irán, Turquía y Marruecos, lo que apunta al carácter cuidadosamente planificado de la operación.

Landfall pertenece a la clase comercial de herramientas de espionaje, comparable en funcionalidad a los sistemas Pegasus o Predator. Tras su instalación se ocultaba en el sistema, recopilaba identificadores del dispositivo, contactos, mensajes y archivos multimedia, y también podía grabar conversaciones y transmitir los datos obtenidos a servidores remotos. La arquitectura del malware es modular: cada componente realiza una tarea propia —desde la persistencia hasta la exfiltración de información—, lo que facilita las actualizaciones y la adaptación a distintas versiones de Android.

Los investigadores detectaron Landfall mientras analizaban una cadena de otras vulnerabilidades relacionadas con el procesamiento de imágenes en sistemas móviles. En agosto de 2025, Apple solucionó un error similar en el framework ImageIO, que permitía ejecutar código arbitrario en dispositivos iPhone y iPad. Casi al mismo tiempo, Meta advirtió sobre ataques complejos por WhatsApp, donde se usó la combinación de ese fallo con otro defecto en la aplicación. En ese mismo periodo, el equipo de WhatsApp transmitió a Samsung información sobre otra vulnerabilidad relacionada con el formato DNG, y en septiembre la corporación cerró la brecha CVE-2025-21043.

A pesar de las similitudes en los mecanismos de explotación, Unit 42 todavía no ha encontrado pruebas directas de que Landfall se empleara conjuntamente con esas tres vulnerabilidades.

Se supone que todos los incidentes podrían haber sido parte de una ola más amplia de ataques que aprovechan errores en el análisis de imágenes DNG para introducir espías móviles en distintas plataformas. Dado que las últimas cadenas similares de explotaciones se registraron en agosto y septiembre, se puede considerar que la actividad de esta serie de campañas continuó hasta el otoño de 2025. Actualmente no hay datos sobre el uso continuado de CVE-2025-21042, pero no se descarta la aparición de nuevas variantes de los mismos métodos en el futuro.

La infraestructura de Landfall resultó similar a redes que previamente se habían vinculado al grupo Stealth Falcon. Su actividad se sigue desde 2012, y en distintos momentos las víctimas incluyeron periodistas, activistas y opositores de países del Golfo Pérsico. Los investigadores subrayan que plantillas de dominio similares y los métodos de registro no constituyen prueba suficiente para atribuciones definitivas, pero el tipo de herramientas y la calidad de la implementación indican que el grupo tiene acceso a recursos serios; es más probable que se trate de una estructura estatal que de ciberdelincuentes.