Título: Landfall, um spyware de alto nível, explorou zero-day em Galaxy para espionar usuários no Oriente Médio
Resumo do caso
Pesquisadores da Palo Alto Networks, por meio da unidade Unit 42, revelaram uma campanha de espionagem digital destinada a smartphones Galaxy da Samsung. Batizado de Landfall, o ataque durou quase um ano e tirou proveito de uma falha zero-day ainda não identificada pela Samsung, abrindo caminho para invasões pela simples reception de uma imagem maliciosa enviada por aplicativos de mensagens. O foco principal foi o Oriente Médio, com vítimas apuradas em Marrocos, Irã, Iraque e Turquia. Um IP associado ao malware chegou a ser classificado como malicioso pela equipe nacional de resposta cibernética da Turquia (USOM), fortalecendo a ideia de que cidadãos turcos estavam entre os alvos. A vulnerabilidade, registrada como CVE-2025-21042, foi corrigida pela Samsung em abril de 2025, meses após o início das atividades maliciosas.
Disparando o ataque
O Landfall ficou conhecido por sua natureza de alto nível e alvo restrito, o que aponta para uma operação de espionagem direcionada, e não para uma disseminação ampla de malware. O método utilizado permitia que o atacante invadisse dispositivos apenas com a mensagem recebida, sem exigir que o usuário realizasse qualquer ação — uma técnica de carga zero similar a ataques “zero-click”. Esse recurso permitia que o spyware tivesse acesso amplo aos dados do aparelho comprometido.
Quem foi impactado
Segundo o relatório, o spyware mirou dispositivos Galaxy em uma janela de tempo específica, com uma lista de alvos concentrada no Oriente Médio. As evidências indicam que usuários de países como Marrocos, Irã, Iraque e Turquia estiveram entre as vítimas. O pesquisador sênior Itay Cohen, da Unit 42, descreveu o ataque como uma ofensiva de precisão contra indivíduos específicos, reforçando a ideia de uma campanha de espionagem mais do que uma propagação indiscriminada.
O que o Landfall fazia
Uma vez ativo, o spyware tinha permissões abrangentes sobre o conteúdo do dispositivo. Entre as capacidades identificadas estavam: extrair fotos, mensagens, contatos e registros de chamadas; ativar o microfone para gravar áudio; e rastrear a localização da vítima. A análise do código revelou que o malware mencionava diretamente modelos como Galaxy S22, S23, S24 e alguns da linha Z. No entanto, especialistas sugerem que dispositivos com Android 13 a 15 também podem ter sido afetados, abrindo a possibilidade de uma base de aparelhos maior do que apenas as séries citadas.
Conexões e possíveis origens
Além de traçar o mapa de alvos, o relatório aponta semelhanças entre a infraestrutura utilizada pelo Landfall e a de um grupo conhecido como Stealth Falcon, historicamente ligado a ataques contra jornalistas e ativistas no Oriente Médio. Mesmo com esse paralelo, os pesquisadores destacam que não há evidências suficientes para atribuir o ataque a um governo específico ou a um fornecedor de vigilância concreto.
Impacto e importância
A campanha Landfall evidencia como falhas de zero-day podem ser exploradas para espionagem pontual — atingindo indivíduos de alto valor estratégico — e ressalta a necessidade incessante de atualizações de segurança. A correção da CVE-2025-21042 pela Samsung em abril de 2025 representa um passo crucial na mitigação desse tipo de ameaça, mas o episódio também serve como alerta para usuários e organizações manterem programas de atualização e monitoramento de vulnerabilidades.
Em síntese
O Landfall representa um caso clássico de espionagem digital sofisticada: ataque direcionado, uso de uma falha zero-day ainda não corrigida no começo da campanha, exploração via imagem maliciosa em apps de mensagens e acesso profundo aos dados do dispositivo. Mesmo com a correção já publicada, o episódio ressalta a importância de vigilância contínua, resposta rápida a vulnerabilidades e cautela com conteúdo recebido por meio de mensagens, especialmente em regiões de maior tensão geopolítica.
