Spyware Landfall explorou falha em celulares Samsung por quase um ano

Uma análise forense da empresa de segurança Palo Alto Networks Unit 42 revelou uma campanha de espionagem precisa e silenciosa. Um spyware, batizado de 'Landfall', explorou uma vulnerabilidade de dia zero (zero-day) em diversos modelos de smartphones Samsung Galaxy por quase um ano. Ativo desde julho de 2024, o malware só foi contido quando a Samsung liberou uma correção em abril de 2025. A operação, segundo os relatórios, foi direcionada a alvos específicos no Oriente Médio, transformando os aparelhos em ferramentas de vigilância completas.

A Anatomia de um Ataque Silencioso

O vetor de infecção do Landfall é um exemplo clássico de um ataque 'zero-click', a modalidade mais temida por especialistas em segurança. A lógica é simples e brutal: se o dispositivo da vítima recebe um arquivo malicioso, então a infecção pode ocorrer sem que o usuário precise clicar, abrir ou interagir com o conteúdo. No caso do Landfall, o ataque se dava pelo envio de uma imagem no formato DNG, um tipo de arquivo de imagem 'raw'.

De acordo com a investigação da Unit 42, os criminosos aninhavam um arquivo ZIP contendo o payload malicioso dentro da estrutura do arquivo DNG. A vulnerabilidade, catalogada como CVE-2025-21042, residia na biblioteca de processamento de imagem da Samsung (libimagecodec.quram.so). Quando um aplicativo de mensagens, como o WhatsApp, tentava processar a miniatura da imagem para exibição, a falha era acionada, permitindo a execução de código arbitrário. O resultado: o spyware se instalava no sistema sem deixar rastros óbvios e sem exigir qualquer ação da vítima.

Landfall em Ação: O Agente Duplo no Seu Bolso

Uma vez instalado, o Landfall se comportava como um espião digital de alta capacidade. A primeira ação do malware era manipular as políticas do SELinux (Security-Enhanced Linux) do Android para conceder a si mesmo permissões elevadas, garantindo persistência e dificultando sua detecção e remoção. Com acesso privilegiado, o leque de ações era vasto.

O relatório da Palo Alto Networks detalha que o Landfall era capaz de:

  • Gravar chamadas telefônicas e áudio ambiente através do microfone.
  • Rastrear a localização precisa do dispositivo.
  • Coletar listas de contatos, registros de chamadas e mensagens SMS.
  • Exfiltrar arquivos armazenados no aparelho, incluindo fotos e documentos.
  • Acessar o histórico de navegação.

A campanha mirava especificamente em modelos mais recentes, com referências no código do malware aos aparelhos Galaxy S22, S23, S24, além dos dobráveis Galaxy Z Fold 4 e Z Flip 4, que rodavam versões do Android 13 ao 15.

O Quebra-Cabeça da Atribuição: Quem Está por Trás?

Determinar a autoria do Landfall é um exercício complexo. Os pesquisadores da Unit 42 afirmam que a atribuição definitiva é, no momento, inconclusiva. No entanto, a análise aponta para pistas que o conectam ao mercado de spyware comercial, vendido a agências governamentais. Foram encontradas sobreposições na infraestrutura de comando e controle (C2) com o grupo Stealth Falcon, que, segundo relatos anteriores, pode ter ligações com o governo dos Emirados Árabes Unidos.

Adicionalmente, convenções de nomenclatura usadas no código do Landfall são similares às vistas em produtos de empresas notórias como NSO Group e Variston. As evidências, porém, são circunstanciais. A hipótese de ser uma ferramenta de espionagem estatal é plausível, mas o veredito factual é que a autoria permanece desconhecida. As submissões dos arquivos maliciosos ao serviço VirusTotal, que ajudaram na descoberta, originaram-se de países como Iraque, Irã, Turquia e Marrocos, reforçando a tese de uma campanha focada no Oriente Médio.

Conclusão: A Corrida Entre a Falha e a Correção

O caso Landfall é um retrato factual do cenário de segurança digital: uma falha crítica existiu por meses em milhões de dispositivos, foi descoberta e armada por um agente malicioso, e usada em uma campanha direcionada muito antes de o público ou mesmo o fabricante terem conhecimento dela. A Samsung corrigiu a vulnerabilidade CVE-2025-21042 em seu pacote de atualizações de segurança de abril de 2025. O fato, no entanto, serve como um lembrete lógico e inegável da importância de manter sistemas operacionais e aplicativos sempre atualizados, pois essa é a única defesa efetiva contra ameaças que já estão em operação.