Spyware “Landfall” invade celulares Galaxy por quase um ano sem que usuários percebessem

Pesquisadores da Palo Alto Networks descobriram uma operação silenciosa de espionagem que mirou celulares da linha Galaxy, da Samsung. O ataque explorava uma falha até então desconhecida no Android, uma vulnerabilidade zero-day, que permitia a invasão do aparelho apenas com o recebimento de uma imagem maliciosa enviada por aplicativos de mensagens. O usuário não precisava clicar ou abrir o arquivo para ser infectado. A campanha, apelidada de Landfall, ficou ativa por quase um ano antes de ser identificada.

Segundo o relatório da Unit 42, divisão de cibersegurança da Palo Alto, o spyware não foi espalhado em massa. Ele mirava pessoas específicas, o que indica um ataque de espionagem direcionada. A maioria das vítimas estaria em países do Oriente Médio, incluindo Marrocos, Irã, Iraque e Turquia. Um dos servidores do malware chegou a ser bloqueado pela equipe nacional de resposta cibernética da Turquia, reforçando a presença de alvos locais. A brecha usada, registrada como CVE-2025-21042, só foi corrigida pela Samsung em abril de 2025.

O Landfall dava aos invasores acesso praticamente total ao aparelho: fotos, mensagens, contatos, chamadas, localização e até ativação do microfone. A análise técnica mostrou que os hackers tinham interesse especial em modelos recentes, como Galaxy S22, S23, S24 e dispositivos da linha Z, mas especialistas acreditam que outros aparelhos rodando Android 13 a 15 também estavam vulneráveis durante o período do ataque.

Além disso, a infraestrutura usada pelo spyware é parecida com a de grupos como o Stealth Falcon, que já foi associado a ataques contra jornalistas e ativistas nos Emirados Árabes Unidos. Apesar das semelhanças, os pesquisadores afirmam que ainda não há provas suficientes para apontar um governo ou empresa como responsável. Para eles, o que está claro é que se tratou de um ataque cirúrgico, sofisticado — e que passou meses totalmente despercebido pelos usuários.