LandFall : Découverte d'un nouveau malware espion exploitant une faille zéro-jour Samsung via WhatsApp

Apollinaire Monteclair

LandFall : le nouveau logiciel espion qui menace vos appareils Samsung via WhatsApp

En novembre 2025, la communauté de cybersécurité a été alertée par la découverte d’une campagne d’espionnage sophistiquée utilisant un nouveau malware baptisé LandFall. Ce logiciel malveillant exploite une vulnérabilité zéro-jour dans la bibliothèque de traitement d’images Android de Samsung pour infecter les appareils via des images malveillantes envoyées par WhatsApp. Selon les chercheurs de Palo Alto Networks’ Unit 42, cette campagne active depuis juillet 2022 cible principalement des utilisateurs de Samsung Galaxy dans le Moyen-Orient. L’urgence de cette découverte soulève des questions critiques sur la sécurité des messageries populaires et la vulnérabilité des appareils haut de gamme face à des attaques de plus en plus sophistiquées.

Mécanisme d’attaque : comment le malware LandFall compromet vos appareils

La faille zéro-jour dans le traitement d’images Samsung

LandFall utilise une faille critique dans la bibliothèque libimagecodec.quram.so de Samsung, identifiée comme CVE-2025-21042. Cette vulnérabilité est une écriture hors limites (out-of-bounds write) qui permet à un attaquant distant d’exécuter du code arbitraire sur un appareil compromis. La gravité de cette faille a été évaluée comme critique par les experts en sécurité, ce qui explique pourquoi elle a été classée comme une menace de niveau zéro-jour.

La faille a été corrigée par Samsung en avril 2025, mais les chercheurs ont constaté que l’exploitation de LandFall était active bien avant cette date. Ce décalage entre la découverte de l’exploitation et le correctif met en lumière les défis que rencontrent les fabricants et les utilisateurs dans la lutte contre les menaces émergentes.

Le vecteur d’attaque : images DNG malveillantes intégrées dans WhatsApp

L’attaque se déclenche lorsque les utilisateurs reçoivent et ouvrent des images au format .DNG (Digital Negative), un format de fichier raw pour les photographies numériques. Ces fichiers sont spécifiquement conçus pour contenir un fichier .ZIP malveillant à la fin du fichier image. Lorsque l’image est traitée par l’appareil, le code malveillant contenu dans l’archive ZIP est exécuté.

“Les attaques commencent par la livraison d’une image .DNG malformée avec une archive ZIP incorporée vers la fin du fichier. Les chercheurs ont examiné des soumissions sur VirusTotal remontant au 23 juillet 2024, indiquant WhatsApp comme canal de distribution, basé sur les noms de fichiers utilisés.”

Ce vecteur d’attaque est particulièrement efficace car il exploite la confiance des utilisateurs envers les images partagées via WhatsApp, une application largement utilisée pour la communication visuelle. L’absence d’avertissement de sécurité par défaut lors de l’ouverture des fichiers image augmente le risque d’infection.

Les composants techniques du malware LandFall

Une fois exécuté, le malware LandFall déploie deux composants principaux :

  1. Le chargeur (b.so) : Ce composant est responsable de récupérer et charger d’autres modules malveillants sur l’appareil infecté. Il agit comme un point d’entrée pour l’installation de fonctionnalités supplémentaires.

  2. Le manipulateur de politique SELinux (l.so) : Ce module modifie les paramètres de sécurité de l’appareil pour élever les privilèges et assurer la persistance du malware. En manipulant SELinux, le malware contourne les mécanismes de sécurité standard d’Android.

Cette architecture modulaire permet aux attaquants de personnaliser les fonctionnalités du malware en fonction de la cible, rendant l’analyse et la détection plus difficiles pour les solutions de sécurité traditionnelles.

Capacités d’espionnage du malware LandFall : ce qu’il peut voler sur votre appareil

Capacités de base et collecte d’informations

LandFall est conçu comme un cadre de surveillance complet, capable de collecter une large gamme d’informations sur l’appareil infecté et son utilisateur. Le malware peut effectuer l’empreinte digitale (fingerprinting) de l’appareil basée sur :

  • Les identifiants matériels (IMEI, IMSI)
  • Le numéro de carte SIM
  • Les comptes utilisateur
  • Les services Bluetooth
  • Les services de localisation
  • La liste des applications installées

Cette collecte d’informations initiale permet aux attaquants de vérifier si l’appareil est une cible de valeur et de préparer des attaques ultérieures plus spécifiques.

Fonctionnalités d’espionnage avancées

Au-delà de la simple collecte d’informations, LandFall offre des capacités d’espionnage sophistiquées, notamment :

  • Enregistrement audio : Activation du microphone pour enregistrer les conversations environnementales
  • Enregistrement d’appels : Capture des appels téléphoniques entrants et sortants
  • Suivi de localisation : Suivi continu de la position géographique de l’utilisateur
  • Accès aux données personnelles : Photos, contacts, SMS, journaux d’appels et fichiers
  • Accès à l’historique de navigation : Surveillance des sites web visités

Ces fonctionnalités transforment un simple smartphone en un outil de surveillance complet, exposant la vie privée des utilisateurs à des risques significatifs. La nature discrète de ces capacités rend leur détection particulièrement difficile.

Techniques d’évasion et de persistance

Pour échapper aux systèmes de détection et maintenir son accès à l’appareil, LandFall utilise plusieurs techniques avancées :

  1. Modification des politiques SELinux : Comme mentionné précédemment, le malware manipule les paramètres de sécurité pour contourner les restrictions.

  2. Établissement de persistance : Le malware s’assure de se réactiver au redémarrage de l’appareil, garantissant une présence continue.

  3. Évasion de détection : Les attaquants ont intégré des mécanismes pour éviter d’être détectés par les solutions antivirus traditionnelles.

  4. Contournement des protections : LandFall est conçu pour contourner les mécanismes de sécurité d’Android, y compris les restrictions d’exécution de code.

Ces techniques rendent le malware particulièrement résistant et difficile à éliminer, même pour les utilisateurs techniques. Une fois installé, LandFall peut potentiellement fonctionner indéfiniment sur un appareil non protégé.

Appareils concernés et cibles de l’attaque

Modèles Samsung Galaxy vulnérables

Selon l’analyse de Unit 42, LandFall cible spécifiquement les modèles suivants de Samsung Galaxy :

  • Série Galaxy S22
  • Série Galaxy S23
  • Série Galaxy S24
  • Galaxy Z Fold 4
  • Galaxy Z Flip 4

Cette liste couvre une large gamme des derniers modèles phares de Samsung, à l’exception de la toute nouvelle série S25, qui n’était probablement pas encore disponible lors du début de la campagne. Cette concentration sur les modèles haut de gamme suggère que les attaquants ciblent des utilisateurs ayant probablement une plus grande valeur, soit en raison de leur statut social ou professionnel, soit parce qu’ils sont plus susceptibles de posséder des informations sensibles.

Profil des cibles géographiques

L’analyse des échantillons soumis à VirusTotal par les chercheurs a révélé que la campagne LandFall ciblait principalement des régions spécifiques du Moyen-Orient :

  • Iraq
  • Iran
  • Turquie
  • Maroc

Cette concentration géographique suggère que l’opération vise peut-être des individus ou des organisations ayant un intérêt stratégique pour ces régions. Il est possible que les attaquants cherchent à obtenir des informations sensibles liées à la politique, aux affaires ou à la sécurité nationale.

Attribution ambiguë du malware

Malgré une analyse approfondie, les chercheurs ont rencontré des difficultés pour attribuer avec certitude LandFall à un groupe de menaces connu ou à un fournisseur de spyware commercial. Cependant, plusieurs indices suggèrent des liens potentiels avec des acteurs sophistiqués :

  1. Serveurs de commandement et de contrôle (C2) : Six serveurs C2 ont été identifiés et corrélés avec la campagne LandFall. Certains de ces serveurs avaient déjà été signalés pour des activités malveillantes par le CERT turc.

  2. Modèles d’infrastructure : Les schémas d’enregistrement de domaine et les modèles d’infrastructure partagent des similitudes avec ceux observés dans les opérations Stealth Falcon, originaire des Émirats Arabes Unis.

  3. Conventions de nommage : Le composant loader est nommé “Bridge Head”, une convention de nommage couramment observée dans les produits de NSO Group, Variston, Cytrox et Quadream.

Ces indices suggèrent que LandFall pourrait être lié à des acteurs étatiques ou à des fournisseurs de spyware commercial sophistiqués, bien que cette attribution reste incertaine. L’ambiguïté intentionnelle de telles campagnes est une tactique courante pour éviter les représailles et maintenir l’anonymat des attaquants.

Protection contre le malware LandFall : comment se sécuriser

Mises à jour de sécurité essentielles

La mesure de protection la plus critique contre LandFall est l’application rapide des mises à jour de sécurité pour votre appareil Android et vos applications. Samsung a publié un correctif pour la vulnérabilité CVE-2025-21042 en avril 2025. Il est impératif que les propriétaires d’appareils Samsung vérifient régulièrement les mises à jour système et les installent dès leur publication.

Dans la pratique, les utilisateurs devraient :

  1. Activer les mises à jour automatiques du système
  2. Vérifier manuellement les mises à jour au moins une fois par mois
  3. Installer immédiatement les correctifs de sécurité critique

Cette approche proactive réduit considérablement la fenêtre d’exposition aux nouvelles menaces exploitant des failles connues.

Précautions lors de l’utilisation de WhatsApp

Étant donné que WhatsApp est le vecteur principal de l’attaque LandFall, il est crucial d’adopter des pratiques de sécurité renforcées lors de l’utilisation de cette application :

  • Désactiver le téléchargement automatique des médias : Dans les paramètres WhatsApp, désactivez l’option “Enregistrer dans les galeries” pour les photos, vidéos et fichiers audio. Cela empêche l’appareil de traiter automatiquement les images potentiellement malveillantes.

  • Être vigilant avec les images inattendues : Soyez méfiant envers les images provenant d’expéditeurs inconnus ou faisant partie d’une conversation inhabituelle.

  • Utiliser des vérifications supplémentaires : Avant d’ouvrir une image, vérifiez avec l’expéditeur qu’il s’agit bien d’un fichier légitime.

Ces précautions simples mais efficaces peuvent prévenir l’infection par LandFall et d’autres malwares similaires exploitant les fonctionnalités multimédias des messageries.

Paramètres de sécurité avancés pour Android

Pour une protection renforcée contre les menaces avancées comme LandFall, les utilisateurs devraient activer les paramètres de sécurité avancés disponibles sur Android :

  1. Activer la protection avancée (Advanced Protection) : Cette fonctionnalité, disponible sur les appareils récents, offre plusieurs couches de sécurité supplémentaires, y compris une vérification plus stricte des applications et des restrictions sur les sources d’installation.

  2. Utiliser le mode de confinement (Lockdown Mode) : Inspiré par l’iOS d’Apple, ce mode isole certaines applications et fonctionnalités sensibles pour empêcher l’accès non autorisé.

  3. Activer le chiffrement complet des données : Assurez-vous que votre appareil est chiffré pour protéger vos données en cas de perte ou de vol.

  4. Installer une solution de sécurité réputée : Considérez l’installation d’une solution de sécurité mobile qui offre une protection en temps réel contre les menaces émergentes.

Ces paramètres ajoutent des barrières supplémentaires qui peuvent empêcher l’exécution et la propagation de malwares comme LandFall.

Désinfection et vérification post-infection

Si vous suspectez que votre appareil a été infecté par LandFall ou un autre malware, voici les étapes à suivre :

  1. Désactiver immédiatement l’accès à Internet : Cela empêche le malware de communiquer avec ses serveurs C2 et d’envoyer des données volées.

  2. Effectuer une analyse complète du système : Utilisez une solution antivirus réputée pour effectuer une analyse complète du système. Si possible, utilisez une solution bootable pour éviter que le malware n’interfère avec l’analyse.

  3. Réinitialiser l’appareil : Dans les cas graves d’infection, la réinitialisation usine peut être nécessaire. Assurez-vous de sauvegarder vos données importantes après avoir vérifié qu’elles ne sont pas infectées.

  4. Changer les mots de passe importants : Après désinfection, changez tous les mots de passe importants, surtout ceux utilisés pour les comptes sensibles ou financiers.

Ces étapes peuvent aider à éliminer l’infection et à restaurer la sécurité de l’appareil. Une fois l’appareil désinfecté, il est crucial d’appliquer les mesures préventives mentionnées précédemment pour éviter de futures infections.

Conclusion : rester vigilant face aux menaces émergentes

La découverte du malware LandFall représente un rappel important de la constante évolution des menaces de sécurité dans le paysage numérique actuel. En exploitant une faille zéro-jour dans les appareils Samsung et en utilisant WhatsApp comme vecteur d’attaque, les attaquants ont démontré leur capacité à cibler des plateformes populaires avec des techniques sophistiquées.

Pour les utilisateurs, cette situation souligne l’importance de maintenir ses appareils à jour, d’adopter des pratiques de navigation sécurisées et de rester informé des menaces émergentes. La sécurité n’est pas un état statique mais un processus continu qui nécessite de la vigilance et des adaptations régulières.

En tant qu’utilisateurs d’appareils connectés, nous avons le pouvoir de nous protéger en adoptant des habitudes numériques responsables. En restant informés et proactifs, nous pouvons réduire considérablement notre exposition aux menaces comme LandFall et préserver notre vie privée dans un monde de plus en plus numérique.

La cybersécurité est une responsabilité partagée, entre fabricants, développeurs et utilisateurs. En travaillant ensemble pour identifier et corriger les vulnérabilités, nous pouvons créer un écosystème numérique plus sûr pour tous.