Immagina di ricevere una foto apparentemente innocua su WhatsApp. La apri, magari la guardi distrattamente mentre sei in metro o al bar, e poi passi oltre. Non sai che in quell’istante il tuo smartphone Samsung Galaxy è stato compromesso. Un software spia sofisticato, battezzato Landfall, ha preso il controllo del dispositivo: registra le tue conversazioni, traccia ogni tuo movimento, copia foto, contatti e registri delle chiamate. E tu non hai la più pallida idea che stia accadendo.
Questa non è la trama di un thriller tecnologico, ma una realtà documentata dai ricercatori di Unit 42, divisione di threat intelligence di Palo Alto Networks. A metà del 2025, il team ha scoperto una famiglia di spyware Android precedentemente sconosciuta, attiva da mesi nel più assoluto silenzio, che prendeva di mira specificamente i dispositivi Samsung Galaxy attraverso un meccanismo di attacco tanto elegante quanto inquietante.
I ricercatori stavano cercando campioni di un exploit chain che colpiva dispositivi iOS, quando si sono imbattuti in qualcosa di inaspettato: file di immagini DNG (Digital Negative, un formato raw usato in fotografia) contenenti codice malevolo progettato per Android. Non si trattava di un malware qualsiasi, ma di uno spyware commerciale di livello professionale, costruito con competenze e risorse che rimandano direttamente al mondo degli operatori privati di offensive security.
Il vettore d’attacco sfruttava CVE-2025-21042, una vulnerabilità critica zero-day nella libreria di elaborazione immagini di Samsung. In termini semplici, quando il dispositivo tentava di processare l’immagine malevola, il bug nel codice Samsung permetteva all’attaccante di eseguire comandi arbitrari sul sistema operativo, bypassando tutte le protezioni. Il fatto che fosse uno zero-day significa che gli sviluppatori di Samsung non erano a conoscenza del problema, e quindi non esisteva ancora una patch. Gli attaccanti avevano in mano un’arma perfetta: invisibile, silenziosa, devastante.
Ciò che rende Landfall particolarmente preoccupante è la probabile modalità di consegna: zero-click. Significa che l’utente non doveva fare nulla, nemmeno aprire attivamente l’immagine. Bastava che il file arrivasse sul dispositivo, magari tramite WhatsApp, e l’applicazione di messaggistica, nel tentativo di generare un’anteprima dell’immagine, attivava involontariamente l’exploit. La vittima rimaneva completamente all’oscuro di tutto.
Una volta installato, Landfall si trasformava in un perfetto strumento di sorveglianza totale. Poteva accendere il microfono e registrare conversazioni ambientali, tracciare la posizione GPS in tempo reale, copiare foto e video dalla galleria, rubare l’intera rubrica dei contatti e i registri delle chiamate. In pratica, tutto ciò che rendeva quello smartphone un dispositivo personale diventava accessibile all’attaccante. Un incubo per la privacy, soprattutto considerando che le vittime sembravano concentrate in Medio Oriente, suggerendo operazioni di sorveglianza mirata piuttosto che attacchi casuali.
Per gli utenti Samsung, la buona notizia è che CVE-2025-21042 è stata corretta nell’aprile 2025 e CVE-2025-21043 a settembre del 2025. Chi ha installato gli aggiornamenti di sicurezza rilasciati da quella data in poi non è più vulnerabile a questi specifici attacchi. Tuttavia, la scoperta di Landfall solleva domande più ampie sulla sicurezza mobile e sulla proliferazione di strumenti di sorveglianza commerciali.
