Un logiciel espion ultra-discret, baptisé Landfall, a réussi à infecter des smartphones Samsung Galaxy pendant des mois avant d'être neutralisé. L'enquête révèle l'une des opérations d'espionnage les plus sophistiquées jamais observées sur Android.

Plusieurs modèles de Samsung Galaxy sont concernés. ©Gabo_Arts / Shutterstock
Plusieurs modèles de Samsung Galaxy sont concernés. ©Gabo_Arts / Shutterstock

Les chercheurs en cybersécurité ont remonté la trace de cette campagne ciblant exclusivement les appareils du géant sud-coréen, notamment les Galaxy S23, S24, S22, Z Fold 4 et Z Flip 4 tournant sous Android 13, 14, 15 ou 16. Celle-ci reposait sur une vulnérabilité zero day, c’est-à-dire une faille inconnue du constructeur au moment où elle était exploitée, donc impossible à bloquer immédiatement. Référencée CVE-2025-21042, elle est restée active pendant des mois sans que personne ne le sache, de juillet 2024 à avril 2025, lorsque Samsung l'a corrigée.

Un malware infectant la bibliothèque de traitement d'images

Le dispositif se trouvait précisément dans la bibliothèque de traitement d'images intégrée à One UI. Concrètement, les pirates envoyaient à leurs cibles des fichiers photo au format DNG, modifiés pour contenir du code malveillant. Selon les chercheurs, ces images étaient souvent nommées comme des photos reçues via WhatsApp, ce qui suggère que les victimes n'avaient même pas besoin d'ouvrir le fichier pour être contaminées.

« Nous pensons qu'il s'agissait d'une campagne d'espionnage de précision visant des Galaxy au Moyen-Orient », explique Itay Cohen, principal chercheur chez Unit 42, firme spécialisées en cybersécurité. Des indices renvoient vers des victimes possibles en Irak, en Iran, en Turquie et même au Maroc.

Une fois installé, le malware octroyait l'accès aux hackers aux données contenues dans le smartphone : enregistrement des appels et du micro, localisation en continu, photos, messages, contacts, journaux d’appels, etc. Il leur était même possible de manipuler les protections internes d'Android pour empêcher le logiciel d'être délogé.

Ce dernier communiquait ensuite avec des serveurs de commande à l'étranger. « La qualité de l'outil et sa capacité à rester furtif montrent un opérateur hautement doté, pas un groupe criminel lambda », résume Unit 42.

La faille a été corrigée. ©earthphotostock / Shutterstock
La faille a été corrigée. ©earthphotostock / Shutterstock

Des attaques toujours plus sophistiquées

Cette affaire fait écho à une faille similaire corrigée par Apple cette année dans son propre traitement d'images, exploitée, là aussi, via des images envoyées sur WhatsApp. « Le timing, les similarités techniques et la méthode de livraison montrent qu'un même courant d'attaques, fondé sur l’exploitation du format DNG, circule désormais sur plusieurs plateformes mobiles », préviennent les experts.

Si vous détenez un Samsung Galaxy, veillez surtout à ce que votre smartphone soit à jour dans les paramètres.

À découvrir
Quels sont les meilleurs smartphones Samsung ?
25 juillet 2025 à 16h30
Comparatif
À découvrir
Meilleur antivirus gratuit pour Android, le comparatif en 2025
31 octobre 2025 à 14h19
Comparatifs services

Sources : The Register, Unit 42