Spyware Landfall: smartphones Samsung Galaxy sob ataque há mais de um ano

O ecossistema Android foi alvo de um ataque de spyware de grau comercial extremamente sofisticado, focado exclusivamente em smartphones Samsung Galaxy. O mais alarmante é que esta ameaça, batizada de Landfall, explorou uma vulnerabilidade de segurança desconhecida (zero-day) há mais de um ano, antes de ser finalmente exposta.

O ataque foi descoberto por investigadores de cibersegurança da Unit 42 (o braço de inteligência de ameaças da Palo Alto Networks) e sublinha o perigo das falhas de segurança não corrigidas em dispositivos móveis.

Como funcionava o ataque Landfall?

A sofisticação do spyware Landfall reside no seu método de infeção, que era silencioso e altamente eficaz. O ataque explorava uma falha na biblioteca de processamento de imagens da Samsung, o software responsável por abrir e analisar as fotos no teu smartphone.

1. O Engodo: O malware era escondido dentro de ficheiros de imagem DNG (um formato de imagem RAW usado por câmaras profissionais), que pareciam totalmente normais e podiam ser partilhados através de aplicações de redes sociais, email ou plataformas de mensagens instantâneas.
2. A Infeção Silenciosa: Assim que a imagem era descarregada para o dispositivo (mesmo que o utilizador não a abrisse ativamente), o malware era acionado. A vulnerabilidade zero-day (uma falha que a Samsung desconhecia e para a qual não existia patch) permitia que o código malicioso fosse executado.
3. O Controlo Total: Uma vez ativado, o spyware instalava um programa espião oculto que comprometia o SELinux (uma funcionalidade de segurança crucial do Android). Ao adulterar esta política de segurança, o Landfall concedia-se permissões elevadas para gravar áudio, ler mensagens e copiar dados sem ser detetado.

Quem foi afetado e quando?

O spyware Landfall foi detetado a visar especificamente modelos topo de gama da Samsung, nomeadamente as séries Galaxy S22, S23 e S24, bem como os dobráveis Galaxy Z Fold 4 e Z Flip 4.

A análise dos investigadores sugere que a campanha de espionagem começou em meados de 2024 e continuou ativamente até início de 2025, o que significa que o malware esteve em circulação e a explorar o zero-day durante mais de 12 meses. A maioria dos dispositivos infetados parecia estar localizada em países do Médio Oriente, incluindo o Iraque, Irão, Turquia e Marrocos.

A correção tardia e o alerta de segurança

O Landfall explorava duas vulnerabilidades, sendo a principal rastreada como CVE-2025-21042. A Samsung só conseguiu lançar o patch para corrigir esta falha no seu pacote de segurança de abril de 2025, mais de um ano depois de o malware ter começado, alegadamente, a circular. Uma falha relacionada foi corrigida em setembro.

Este incidente sublinha o desafio de segurança que as grandes fabricantes enfrentam e a importância dos patches de segurança mensais. A incapacidade de detetar e corrigir uma falha que permite um controlo total do dispositivo durante tanto tempo é uma falha grave na segurança da plataforma.

Alerta de Segurança: Os utilizadores de smartphones Galaxy que não tenham atualizado os seus dispositivos com o patch de segurança de abril de 2025 (ou mais recente) são aconselhados a fazê-lo imediatamente para garantir que esta porta de entrada para o malware Landfall está devidamente selada.

Outros artigos interessantes:

• Pechincha do 11/11: Trotinete elétrica de 750 W e suspensão dupla por apenas 274€
• Reuniões falsas no Zoom e Teams: O golpe GhostCall
• Poco F8 Pro e Redmi Note 15 Pro 4G a caminho da Europa e Ásia