Prima di procedere
La sicurezza di Android è nuovamente sotto i riflettori a causa di LANDFALL, un sofisticato spyware scoperto da Unit 42 di Palo Alto Networks. Questo software spia di livello commerciale è specificamente progettato per infiltrarsi nei dispositivi Samsung Galaxy, sfruttando una vulnerabilità zero-day rimasta attiva per diversi mesi prima di essere corretta.
L'attacco, che si concentra principalmente su utenti in Medio Oriente, si distingue per il suo metodo di diffusione: un file immagine DNG apparentemente innocuo inviato tramite WhatsApp. Non è necessario alcun clic o apertura dell'allegato; la semplice ricezione del file è sufficiente per innescare l'infezione. Una volta infiltrato nel telefono, LANDFALL ottiene un accesso completo al sistema, consentendo agli attaccanti di registrare audio, tracciare la posizione e persino estrarre contatti, foto e registri delle chiamate.
Secondo il rapporto di Unit 42, LANDFALL rappresenta un'evoluzione preoccupante dei software di sorveglianza sviluppati da società private con fini commerciali, paragonabile a spyware noti come Pegasus. Il malware sfrutta la vulnerabilità CVE-2025-21042, individuata nella libreria di elaborazione delle immagini dei dispositivi Samsung, e utilizzata attivamente dagli attaccanti dalla metà del 2024, molto prima che Samsung rilasciasse una correzione ad aprile 2025. Questa vulnerabilità permette l'esecuzione di codice da remoto attraverso la libreria Skia, un motore grafico 2D open-source utilizzato ampiamente su piattaforme diverse, inclusa Android.
Il codice malevolo è nascosto in file immagine DNG appositamente modificati, sfruttando un bug nel modo in cui la libreria di sistema gestisce questo formato fotografico. Una volta inviato tramite WhatsApp, lo spyware si attiva automaticamente, senza richiedere alcuna interazione da parte dell'utente, in un attacco definito "zero-click" dai ricercatori. Questo tipo di attacco è particolarmente insidioso perché non richiede all'utente di compiere azioni sospette, rendendo difficile la sua identificazione e prevenzione.
Gli obiettivi principali sembrano essere i dispositivi Samsung Galaxy S22, S23, S24 e Fold/Flip, in particolare in paesi come Iraq, Iran, Turchia e Marocco. Gli indizi raccolti suggeriscono l'impiego da parte di un attore del settore privato o di un gruppo specializzato nella vendita di strumenti di sorveglianza a governi e organizzazioni. Questo solleva preoccupazioni sulla proliferazione di strumenti di spionaggio avanzati e sul loro utilizzo per scopi potenzialmente illeciti.
Una volta installato, LANDFALL è in grado di registrare l'audio ambientale, accedere alla posizione GPS, leggere messaggi e chat, estrarre foto, contatti e cronologia delle chiamate, mantenendo un livello di controllo quasi totale sul dispositivo infetto. Questo accesso completo ai dati personali e alle comunicazioni degli utenti rappresenta una grave violazione della privacy e della sicurezza.
La scoperta di LANDFALL mette in evidenza un problema sempre più critico: la sicurezza delle librerie di sistema integrate negli smartphone moderni. Negli ultimi mesi, anche Apple ha affrontato vulnerabilità simili legate all'elaborazione delle immagini, dimostrando che queste componenti, spesso invisibili agli utenti, sono un bersaglio sempre più attraente per gli attaccanti. Le librerie di elaborazione delle immagini, in particolare, sono spesso complesse e soggette a bug, rendendole un punto debole nella sicurezza dei dispositivi mobili.
Samsung ha rilasciato una patch per la vulnerabilità ad aprile 2025, ma gli esperti di Palo Alto sottolineano che l'attacco era attivo da molti mesi prima. Questo evidenzia come le vulnerabilità zero-day possano rimanere silenti e operative a lungo, spesso colpendo specifiche aree geografiche o categorie di utenti senza destare sospetti. La finestra di tempo tra la scoperta di una vulnerabilità e il rilascio di una patch può essere sfruttata dagli attaccanti per compromettere un gran numero di dispositivi.
Per gli utenti, la lezione è chiara: anche un messaggio apparentemente innocuo può nascondere un rischio, soprattutto se proviene da mittenti sconosciuti o canali non verificati. Mantenere il proprio dispositivo aggiornato e installare tempestivamente le patch di sicurezza rimane la prima e più efficace forma di difesa. Inoltre, è consigliabile prestare attenzione ai permessi richiesti dalle applicazioni e limitare l'accesso ai dati sensibili solo alle app di cui ci si fida. L'utilizzo di software di sicurezza affidabile può anche aiutare a rilevare e bloccare minacce come LANDFALL.
La vicenda di LANDFALL sottolinea l'importanza di una continua vigilanza e di una stretta collaborazione tra produttori di dispositivi, sviluppatori di software e ricercatori di sicurezza per proteggere gli utenti dalle minacce informatiche sempre più sofisticate. La sicurezza dei nostri dispositivi mobili è una responsabilità condivisa che richiede un impegno costante da parte di tutti gli attori coinvolti.
