Un nouveau logiciel espion, appelé Landfall, a été repéré ciblant certains modèles de smartphones Samsung Galaxy. Cette menace a sévi de juillet 2024 à avril 2025 et pourrait bien avoir des conséquences notables pour les utilisateurs des appareils touchés. Les spécialistes en sécurité numérique alertent sur cette opération d’espionnage qui semble viser surtout le Moyen-Orient.
Quels appareils sont concernés ?
Landfall s’attaque aux derniers modèles de la gamme Samsung Galaxy, comme les Galaxy S23, S24, S22, mais aussi aux modèles pliables tels que le Z Fold 4 et le Z Flip 4. Ces appareils, fonctionnant avec Android versions 13, 14, 15 et 16, sont particulièrement vulnérables. La faille exploitée, repérée sous la référence CVE-2025-21042, se trouve dans une bibliothèque de traitement d’images intégrée à l’interface One UI de Samsung.
Comment ça infecte et où ça se passe ?
L’attaque Landfall se déploie via des fichiers photo au format DNG, dans lesquels se cache du code malveillant, le tout déguisé en applications malveillantes. Cette méthode ingénieuse permet au logiciel d’éviter les protections d’Android. Les pays visés incluent des nations du Moyen-Orient comme l’Irak, l’Iran, la Turquie et le Maroc. D’après Itay Cohen, chercheur principal chez Unit 42, « nous pensons qu’il s’agissait d’une campagne d’espionnage de précision visant des Galaxy au Moyen-Orient », cite Clubic.
Ce que le spy peut faire
Landfall se distingue par ses multiples fonctionnalités qui lui donnent accès à une grande quantité de données personnelles. Il peut :
- enregistrer les appels téléphoniques,
- activer le micro,
- récupérer la localisation GPS,
- ainsi que les photos, messages, contacts et journaux d’appels.
De plus, il parvient à contourner les systèmes de sécurité d’Android pour rester discret tout en communiquant avec des serveurs de commande à l’étranger. Unit 42 souligne que « la qualité de l’outil et sa capacité à passer inaperçu montrent qu’on a affaire à un opérateur bien outillé, pas à un groupe de cybercriminels lambda ».
Des cas proches, comme chez Apple
Ce genre de faille rappelle une vulnérabilité similaire récemment corrigée par Apple. L’utilisation du format DNG pour exploiter des failles de sécurité sur plusieurs plateformes mobiles devient une méthode de prédilection chez des cyberattaquants bien équipés. Les experts remarquent que « le timing, les similarités techniques et la manière de livrer l’attaque témoignent d’un courant d’escroqueries mobiles qui se répand désormais sur plusieurs plateformes mobiles ».
