No abras esa imagen: ciberdelincuentes están utilizando estas fotos para espiar tu móvil Samsung
Este spyware logró explotar una vulnerabilidad de móviles Samsung Galaxy para espiar sin clic alguno mediante imágenes manipuladas, afectando a muchos de los modelos recientes de la marca hasta abril de 2025.
Los investigadores de Palo Alto Networks Unit 42 han detectado el spyware llamado Landfall que logró infiltrarse en teléfonos Samsung Galaxy utilizando simples imágenes manipuladas, sin necesidad de que los usuarios hicieran nada.
El ataque explotaba una vulnerabilidad del software de Android de Samsung, que permaneció activa durante buena parte de 2024 y principios de este año.
Por suerte, este fallo ya fue corregido por Samsung en su actualización de seguridad de abril, por lo que es recomendable cerciorarse de que el dispositivo esté actualizado.
Antes de ello, esta vulnerabilidad permitió a los atacantes acceder a datos personales de víctimas seleccionadas en varios países.
Según los investigadores, Landfall utilizaba archivos DNG modificados que contenían archivos ZIP ocultos con bibliotecas maliciosas que explotaban una vulnerabilidad del componente de procesamiento de imágenes de Samsung.
El sistema procesaba automáticamente estos archivos, lo que permitía que el código malicioso se ejecutara sin intervención del usuario.
Una vez dentro del dispositivo, los atacantes modificaban las políticas de SELinux para obtener privilegios ampliados y evadir el aislamiento de procesos.
Con ello, podían acceder a identificadores del dispositivo, contactos, aplicaciones instaladas, directorios de archivos, datos del navegador y también activar el micrófono o la cámara de forma remota.
Los investigadores detectaron rastros de infección en modelos como los Galaxy S22, S23 y S24, incluyendo los plegables Z Flip 4 y Z Fold 4. Las operaciones se centraron en países como Irak, Irán, Turquía y Marruecos, lo que indica que fue una campaña dirigida a objetivos muy concretos.
Según los investigadores, este spyware fue desarrollado por un equipo profesional con amplios recursos, y el código e infraestructura utilizados presentan similitudes con herramientas de espionaje empleadas por contratistas especializados.
Samsung ha confirmado que su parche de abril corrige la vulnerabilidad en Android 13, 14 y 15, aunque advierte que eliminar el spyware puede resultar complicado si el sistema ha sido comprometido.