Les chercheurs de Unit 42 ont d\u00e9couvert une famille de logiciels espions Android jusqu'alors inconnue, que nous avons baptis\u00e9e LANDFALL. Pour diffuser ce spyware, les attaquants ont exploit\u00e9 une vuln\u00e9rabilit\u00e9 zero-day (CVE-2025-21042) dans la biblioth\u00e8que de traitement d'images Android de Samsung. La faille sp\u00e9cifique exploit\u00e9e par LANDFALL, CVE-2025-21042, n'est pas un cas isol\u00e9 mais s'inscrit plut\u00f4t dans un sch\u00e9ma plus large de probl\u00e8mes similaires constat\u00e9s sur de multiples plateformes mobiles.<\/p>\n
Cette vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 activement exploit\u00e9e \"in the wild\" (dans la nature) avant que Samsung ne la corrige en avril 2025, suite \u00e0 des signalements d'attaques en cours. Cependant, l'exploit lui-m\u00eame \u2014 ainsi que le logiciel espion de qualit\u00e9 commerciale utilis\u00e9 avec \u2014 n'ont pas encore \u00e9t\u00e9 publiquement rapport\u00e9s et analys\u00e9s.<\/p>\n
LANDFALL \u00e9tait int\u00e9gr\u00e9 dans des fichiers image malveillants (format de fichier DNG) qui semblent avoir \u00e9t\u00e9 envoy\u00e9s via WhatsApp, ouvrant potentiellement la voie \u00e0 une cha\u00eene d'infection \"zero-click\" (ne n\u00e9cessitant aucune interaction de l'utilisateur). Cette m\u00e9thode ressemble \u00e9troitement \u00e0 une cha\u00eene d'exploitation impliquant Apple et WhatsApp qui a attir\u00e9 l'attention en ao\u00fbt 2025. Elle ressemble \u00e9galement \u00e0 une cha\u00eene d'exploitation qui s'est probablement produite en utilisant une vuln\u00e9rabilit\u00e9 zero-day similaire (CVE-2025-21043) divulgu\u00e9e en septembre. Nos recherches n'ont identifi\u00e9 aucune vuln\u00e9rabilit\u00e9 inconnue dans WhatsApp.<\/p>\n
Fait important, notre d\u00e9couverte est ant\u00e9rieure \u00e0 ces divulgations : la campagne LANDFALL op\u00e9rait d\u00e9j\u00e0 \u00e0 la mi-2024, utilisant la vuln\u00e9rabilit\u00e9 zero-day Android\/Samsung (CVE-2025-21042) des mois avant qu'elle ne soit corrig\u00e9e.<\/p>\n
La vuln\u00e9rabilit\u00e9 est corrig\u00e9e depuis avril 2025, il n'y a donc aucun risque actuel pour les utilisateurs de Samsung. En septembre, Samsung a \u00e9galement corrig\u00e9 une autre vuln\u00e9rabilit\u00e9 zero-day (CVE-2025-21043) dans la m\u00eame biblioth\u00e8que de traitement d'images, renfor\u00e7ant ainsi la protection contre ce type d'attaque. Nos recherches n'ont identifi\u00e9 aucune vuln\u00e9rabilit\u00e9 dans WhatsApp et tout indique que l'application n'a \u00e9t\u00e9 utilis\u00e9e que comme vecteur de livraison, probablement en raison de son utilisation pr\u00e9valente par les cibles de cette activit\u00e9.<\/p>\n
Notre recherche se penche sur l'exploitation historique qui a eu lieu avant le correctif, offrant une visibilit\u00e9 rare sur une op\u00e9ration de logiciel espion avanc\u00e9e qui n'avait pas \u00e9t\u00e9 publiquement signal\u00e9e.<\/p>\n
Principales conclusions :<\/p>\n
Les clients de Palo Alto Networks sont mieux prot\u00e9g\u00e9s gr\u00e2ce aux produits et services suivants :<\/p>\n
Si vous pensez avoir \u00e9t\u00e9 compromis ou si vous avez une urgence, contactez l'\u00e9quipe d'Intervention sur Incident de Unit 42<\/a>.<\/p>\n
![\"Capture](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-10389-164629-1.png\")
![\"Organigramme](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/FR-2-Samsung-560x440.png\")
![\"Capture](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-17237-164629-3.png\")
![\"Capture](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-19704-164629-4.png\")
![\"Capture](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/11\/word-image-22299-164629-5.png\")