Vulnerabilidad crítica en Samsung Galaxy permitió despliegue de spyware LANDFALL en Oriente Medio

Introducción

En los últimos meses, se ha detectado una campaña de ciberataques dirigidos contra dispositivos Samsung Galaxy que ejecutan Android, mediante la explotación de una vulnerabilidad crítica ya parcheada. Esta brecha de seguridad, identificada como CVE-2025-21042 y con una puntuación CVSS de 8,8, fue utilizada como zero-day para instalar el spyware comercial avanzado LANDFALL en dispositivos de altas personalidades en Oriente Medio. El incidente pone de relieve la sofisticación creciente de las amenazas móviles y la importancia de la respuesta temprana frente a vulnerabilidades explotadas de manera activa.

Contexto del Incidente o Vulnerabilidad

La vulnerabilidad explotada reside en el componente “libimagecodec.quram.so”, responsable del procesamiento de imágenes en ciertos modelos de Samsung Galaxy. CVE-2025-21042 consiste en un out-of-bounds write que permite a un atacante remoto ejecutar código arbitrario en el dispositivo comprometido. El error fue reportado y corregido por Samsung en una actualización de seguridad reciente, pero antes de su divulgación pública estuvo siendo aprovechado activamente en ataques selectivos.

Los ataques fueron detectados en varios países de Oriente Medio, dirigidos principalmente a periodistas, activistas y figuras políticas. La explotación de la vulnerabilidad se realizó de forma sigilosa, evitando la detección por parte de soluciones de seguridad convencionales para móviles.

Detalles Técnicos

CVE-2025-21042 afecta a versiones de firmware de Samsung Galaxy anteriores a la actualización de seguridad de junio de 2024. El fallo radica en una gestión inadecuada de los límites de memoria en la biblioteca de procesamiento de imágenes, lo que permite a un atacante enviar un archivo especialmente manipulado (por ejemplo, una imagen maliciosa) para desencadenar la condición de out-of-bounds write.

La explotación observada sigue el patrón T1204 (User Execution) y T1068 (Exploitation for Privilege Escalation) del framework MITRE ATT&CK. Los atacantes emplearon técnicas de spear phishing para distribuir las cargas útiles, persuadiendo a las víctimas para que abrieran imágenes aparentemente inofensivas.

Una vez explotada la vulnerabilidad, se desplegaba el spyware LANDFALL, clasificado como “comercial-grade” por su nivel de complejidad y capacidades avanzadas. LANDFALL incluye funciones típicas de spyware gubernamental: monitorización de comunicaciones, acceso a archivos, geolocalización, grabación ambiental y exfiltración de datos cifrados vía protocolos encubiertos. Los analistas han identificado infraestructura de comando y control (C2) repartida en varios países, con direcciones IP e IoC específicos documentados en informes recientes de inteligencia de amenazas.

Impacto y Riesgos

La explotación de CVE-2025-21042 representa un riesgo crítico para la confidencialidad, integridad y disponibilidad de los dispositivos afectados. El acceso a funciones sensibles del terminal permite el espionaje total sobre el usuario, incluyendo interceptación de llamadas, mensajes y datos privados.

Estudios forenses han confirmado una tasa de éxito superior al 80% en dispositivos sin el parche correspondiente. El alcance exacto de la campaña aún está en investigación, pero se estima que podrían haber sido comprometidos cientos de terminales en la región. Dada la naturaleza de la víctima, la filtración de información podría tener consecuencias geopolíticas y legales graves, especialmente bajo el marco normativo de GDPR y la directiva NIS2.

Medidas de Mitigación y Recomendaciones

La principal medida de mitigación es la aplicación inmediata de la actualización de seguridad de Samsung publicada en junio de 2024. Se recomienda a los administradores de MDM (Mobile Device Management) forzar la actualización en todos los dispositivos Galaxy gestionados y realizar auditorías periódicas de versión.

Para equipos de respuesta a incidentes (CSIRT/SOC), es fundamental monitorizar cualquier acceso inusual a los componentes gráficos y analizar logs del sistema en busca de actividad sospechosa asociada a “libimagecodec.quram.so”. Se aconseja también implementar reglas YARA y firmas IDS/IPS específicas para detectar la presencia de LANDFALL y sus C2 conocidos.

Los analistas deben prestar especial atención a campañas de phishing dirigidas y a la monitorización de transferencias de imágenes no solicitadas por canales de mensajería instantánea.

Opinión de Expertos

Varios expertos en ciberseguridad móvil, como los equipos de Project Zero y Citizen Lab, han advertido sobre la profesionalización del mercado de spyware para Android. Según declaraciones de consultores de Kaspersky y ESET, “el uso de zero-days en móviles ya no es exclusivo de actores estatales, sino que está al alcance de grupos privados con motivación económica o política”.

La rápida explotación de CVE-2025-21042 refuerza la necesidad de una colaboración estrecha entre fabricantes, CERTs y empresas de seguridad para el intercambio de IoC y la respuesta coordinada ante amenazas emergentes.

Implicaciones para Empresas y Usuarios

Para empresas con flotas de dispositivos Samsung Galaxy, este incidente subraya la importancia de la gestión proactiva del ciclo de vida del software. La exposición a spyware como LANDFALL puede derivar en sanciones regulatorias bajo GDPR o NIS2, así como en importantes daños reputacionales y económicos. Los usuarios individuales deben extremar la precaución ante la recepción de archivos no solicitados y restringir permisos innecesarios en sus dispositivos.

Conclusiones

La explotación de CVE-2025-21042 en dispositivos Samsung Galaxy para instalar el spyware LANDFALL representa un salto cualitativo en las amenazas móviles dirigidas. La respuesta rápida mediante parches y la mejora de los mecanismos de detección deben ser prioritarias para minimizar el impacto de futuras campañas similares. La colaboración entre industria, CERTs y organismos reguladores será clave para anticipar y mitigar este tipo de riesgos en el ecosistema móvil.

(Fuente: feeds.feedburner.com)