Un logiciel espion Android nommé Landfall a infecté discrètement des Galaxy depuis juillet 2024 via une faille zero-click. Samsung a corrigé la vulnérabilité en avril 2025.
Unit 42 de Palo Alto Networks a analysé Landfall, un implant Android capable d’infecter des Samsung Galaxy sans interaction utilisateur, en exploitant la CVE-2025-21042. Les attaques, actives depuis juillet 2024 et colmatées par Samsung en avril 2025, ciblent des individus précis plutôt qu’un déploiement massif. Landfall exfiltre photos, messages, contacts et appels, peut activer le micro et suivre la géolocalisation. Des échantillons soumis à VirusTotal proviennent du Maroc, d’Iran, d’Irak et de Turquie. L’infrastructure présente des similarités avec le projet Stealth Falcon, sans preuve d’attribution formelle. Les modèles S22, S23, S24 et certains Z sont explicitement référencés; Android 13 à 15 sont concernés potentiellement.
Une attaque zero-click et des victimes ciblées
Unit 42 décrit Landfall comme un implant exploiting une vulnérabilité zero-day dans le composant Galaxy, identifié sous la référence CVE-2025-21042. L’exploit repose sur l’envoi d’une image spécialement conçue. La victime n’a pas besoin d’ouvrir le fichier ni de cliquer sur un lien. L’exécution se produit de manière silencieuse à la réception du contenu. Selon les éléments partagés, Samsung n’avait pas conscience de cette exploitation avant d’appliquer un correctif en avril 2025. Les traces d’opérations remontent à juillet 2024, ce qui indique une fenêtre d’exploitation prolongée. Itai Cohen, chercheur cité par Unit 42, précise que la campagne semble axée sur des objectifs particuliers. Le mode opératoire, la sélection restreinte des cibles et la dispersion géographique des échantillons laissent penser à une logique de cyber-reconnaissance plutôt qu’à une opération de masse.
Landfall, à l’instar d’autres outils d’espionnage gouvernementaux, offre un large accès aux données du terminal. Les capacités rapportées comprennent la collecte de photos, de messages, de contacts et d’historique d’appels. L’implant peut également activer le microphone pour écouter l’environnement et suivre la position GPS. Ces fonctionnalités autorisent une observation prolongée et discrète d’une cible et la collecte de preuves audio, photo et de trafic téléphonique. Unit 42 précise que le code contient des références explicites à cinq modèles Galaxy, incluant les gammes S22, S23, S24 et certains modèles Z. Les versions d’Android mentionnées comme potentiellement affectées s’échelonnent d’Android 13 à Android 15, ce qui élargit la population de terminaux vulnérables avant la correction.
Pistes d’infrastructure et rapprochements opérationnels
L’analyse de l’infrastructure utilisée par les opérateurs révèle des recoupements notables. Certains éléments d’architecture et des patterns de déploiement présentent des similarités avec Stealth Falcon, un projet d’espionnage connu pour cibler journalistes et militants aux Émirats arabes unis. Toutefois, Unit 42 souligne l’absence de preuve formelle reliant Landfall à cet acteur spécifique. Des échantillons de l’implant ont été envoyés à VirusTotal par des utilisateurs situés au Maroc, en Iran, en Irak et en Turquie. L’équipe d’intervention turque USOM a identifié une adresse IP associée à Landfall comme malveillante, corroborant des infections probables en Turquie. Ces éléments géographiques et techniques permettent d’établir des hypothèses de ciblage régional mais n’autorisent pas une attribution définitive sans davantage de preuves opérationnelles et d’améliorations de la traçabilité des infrastructures.
Landfall illustre la menace majeure que représentent les exploits zero-click sur mobiles. L’absence d’action de l’utilisateur comme condition d’infection abaisse significativement la barrière d’entrée pour un espionnage discret et durable. Les caractéristiques de ciblage rapportées orientent l’analyse vers des opérations de renseignement numérique plutôt que vers du cybercrime opportuniste. Samsung a corrigé la faille en avril 2025 ; néanmoins, la fenêtre d’exploitation entre juillet 2024 et la mise à jour souligne l’importance d’une détection proactive, d’un durcissement des composants sensibles et d’une réponse coordonnée entre fabricants, CERT et communautés de chercheurs. À noter, selon les éléments fournis, aucune déclaration publique officielle de Samsung sur ces résultats n’a été rapportée au moment de la rédaction.
Une histoire diffusée sur Zataz signale qu’une faille zero-click dans WhatsApp a été exploitée pour installer un autre spyware appelé Graphite. Cette autre affaire illustre une tendance : l’exploitation de vecteurs zero-click dans des applications et composants de masse pour implanter des outils d’espionnage. La cooccurrence de vulnérabilités zero-click ciblant à la fois la couche système (Galaxy) et des applications de messagerie montre que les acteurs malveillants privilégient des vecteurs silencieux et à fort potentiel d’accès aux données. Cette convergence justifie une vigilance accrue autour des correctifs, des mécanismes de détection et de la sensibilisation des opérateurs nationaux de réponse aux incidents.
La persistance de campagnes zero-click soulève une question cruciale : comment renforcer, au-delà des correctifs ponctuels, la résilience des écosystèmes mobiles face à des implantations invisibles et ciblées ?
