Teléfonos Samsung Galaxy pirateados durante meses, Marruecos afectado

Según los investigadores de la unidad 42 de Palo Alto Networks, el software espía, llamado "Landfall", se detectó por primera vez en julio de 2024. Se basaba en una vulnerabilidad "zero-day", es decir, una brecha desconocida para Samsung en ese momento. La infección podía producirse sin ninguna acción de la víctima, simplemente recibiendo una imagen trampa, probablemente a través de una aplicación de mensajería.

Samsung corrigió esta vulnerabilidad, ahora identificada como CVE-2025-21042, en abril de 2025. Sin embargo, los detalles de la campaña de espionaje no se habían revelado hasta ahora. El software espía era capaz de una vigilancia completa, incluyendo el acceso a fotos, mensajes, contactos, la grabación del micrófono y el seguimiento de la ubicación.

Un "ataque de precisión" relacionado con Stealth Falcon

Los investigadores creen que se trataba de un "ataque de precisión" dirigido a individuos específicos, probablemente con fines de espionaje, y no de un ataque masivo. Aunque el autor del ataque no se ha identificado formalmente, la investigación reveló que "Landfall" compartía una infraestructura digital con Stealth Falcon, un proveedor de vigilancia conocido por haber apuntado a periodistas y activistas en Emiratos Árabes Unidos en el pasado.

Se han descargado muestras del software espía en el servicio VirusTotal desde Marruecos, Irán, Irak y Turquía a lo largo de 2024 y principios de 2025. El código fuente del malware hacía referencia específicamente a modelos recientes como los Galaxy S22, S23, S24 y algunos modelos Z, pero la vulnerabilidad podría afectar a otros dispositivos con Android 13 a 15.