Une campagne d’espionnage mobile ciblé vient d’être révélée par Unit 42, l’équipe de recherche de Palo Alto Networks. Le logiciel espion Landfall, identifié comme une menace de niveau commercial, s’attaque aux smartphones Samsung en exploitant une vulnérabilité jusque-là inconnue. L’attaque permet d’infecter des terminaux à distance sans aucune interaction utilisateur, renforçant les alertes sur la surface d’exposition croissante des appareils mobiles en entreprise.
Le logiciel espion Landfall repose sur une chaîne d’infection particulièrement sophistiquée. Il tire parti de la vulnérabilité identifiée sous le code CVE‑2025‑21042, présente dans une bibliothèque de traitement d’images au format DNG embarquée sur plusieurs modèles de smartphones Samsung. Ce point d’entrée permet aux attaquants de transmettre une image malformée, notamment via des messageries comme WhatsApp, afin de déclencher l’exécution de code malveillant à distance.
L’exploit ne nécessite aucune action de l’utilisateur. Une fois l’appareil compromis, le logiciel malveillant est capable d’enregistrer les conversations via le microphone, de localiser l’utilisateur en temps réel, d’accéder à ses contacts et à ses fichiers. Il parvient même à contourner les mécanismes de sécurité de type SELinux, en modifiant les politiques d’accès pour obtenir un contrôle étendu sur le système.
Une infrastructure de surveillance ciblée
Les analyses de l’infrastructure de commande et de contrôle (C2) associée à Landfall indiquent que les victimes ciblées se trouvent majoritairement au Moyen‑Orient. Les adresses IP et les domaines utilisés par les opérateurs malveillants pointent vers des zones d’activité en Iran, en Irak, en Turquie et au Maroc. L’infrastructure utilise des noms de domaines anonymisés ou usurpés pour masquer la nature réelle des connexions sortantes, parmi lesquels hotelsitereview.com et projectmanagerskills.com.
Les chercheurs de Palo Alto Networks soulignent que la campagne repose sur une logique de surveillance ciblée, susceptible d’être commanditée ou réutilisée par des acteurs étatiques ou commerciaux. L’usage d’une faille zero‑click et la spécialisation sur des terminaux Galaxy récents renforcent la nature sélective de l’opération.
Des précédents similaires et une surface d’attaque élargie
Landfall n’est pas un cas isolé. D’autres vulnérabilités affectant les bibliothèques de traitement d’images ont été signalées récemment. Samsung a corrigé une faille distincte, CVE‑2025‑21043, en septembre 2025, tandis qu’Apple a dû traiter un cas équivalent dans son propre moteur de traitement DNG. Ces incidents confirment que le traitement d’images devient un vecteur d’intrusion privilégié, en particulier via les applications de messagerie et de partage multimédia.
Ce type d’exploitation remet en question certains postulats de sécurité mobile, notamment la confiance dans les applications de communication sécurisées et la relative cloison étanche des environnements Android. Pour les entreprises, il devient indispensable de réévaluer les risques liés aux messageries mobiles utilisées à des fins professionnelles.
Des enseignements à tirer pour les responsables cybersécurité
La découverte de Landfall impose une vigilance renforcée sur plusieurs fronts. D’abord, la gestion des mises à jour de firmware devient un enjeu critique, y compris pour les flottes de terminaux Android souvent négligées dans les politiques de sécurité. Ensuite, la surveillance des flux réseau sur mobile, notamment vers des domaines peu connus, doit être systématisée dans les environnements sensibles.
Enfin, la sophistication de ce logiciel espion confirme que les appareils mobiles doivent être intégrés dans une stratégie de protection globale, au même titre que les postes de travail. Les entreprises doivent anticiper une multiplication de ces campagnes de surveillance ciblée, rendues plus discrètes et plus efficaces par les progrès des techniques d’intrusion sans contact.
Le cas Landfall agit comme un révélateur des limites actuelles en matière de gouvernance mobile. L’illusion d’un cloisonnement entre vie personnelle et vie professionnelle, souvent entretenue sur smartphone, ne résiste pas à ce type de campagne. Pour les DSI, les RSSI et les responsables conformité, le défi consiste désormais à étendre les capacités de détection, de mise à jour et de réponse aux incidents à l’ensemble du parc mobile, sans créer de friction excessive pour les utilisateurs.
