Pendant que Samsung vous vendait ses Galaxy S22, S23 et S24 en vantant Knox, leur forteresse de sécurité niveau Pentagone, quelqu’un au Moyen-Orient transformait ces téléphones en micros espions à partir d’une simple photo de vacances envoyée à ses victimes sur WhatsApp.

Et ce petit manège a duré 9 putain de mois. Hé oui, toute cette histoire vient d’être révélée par l’ Unité 42 de Palo Alto Networks . Ce spyware s’appelle LANDFALL, et c’est un produit commercial vendu par Stealth Falcon (aussi connu sous le nom de FruityArmor), une boîte du Moyen Orient, spécialisée dans la surveillance, avec probablement un support client et tout le bazar qui va avec.

Et ce malware utilise une technique d’une simplicité terrifiante. Un fichier DNG (Digital Negative, le format RAW d’Adobe) forgé spécialement pour l’occasion est envoyé via WhatsApp à la victime (genre, au hasard, VOUS ! ^^). Vous recevez la photo, WhatsApp tente de l’afficher, et boum badaboum, la faille CVE-2025-21042 s’active joyeusement dans la lib libimagecodec.quram.so de Samsung. C’est un joli dépassement de mémoire tampon qui permet d’exécuter du code arbitraire… donc autant dire qu’à ce stade, c’est fini pour vous.

Car une fois LANDFALL installé, votre Galaxy devient une station d’écoute complète. Micro activé à distance, tracking GPS en temps réel, copie de vos photos, contacts, SMS, logs d’appels. La totale et ce spyware est modulaire, avec un loader (b.so) qui sert de backdoor principale, et un gestionnaire de politiques de sécurité SELinux (l.so) qui élève les permissions.

Techniquement, c’est solide car même si Whatsapp nous vante son chiffrement de bout en bout “inviolable”, ils oublient que le E2E (end to end) protège le transport mais pas le traitement. Selon SecurityAffairs , la campagne était active depuis juillet 2024 et Samsung n’a patché la faille qu’en avril 2025. Donc faites le calcul les amis… Les acheteurs du Galaxy S24, sorti en février 2024, qui pensaient avoir le top du top de la sécurité mobile ont bien été pigeonnés sur ce coup…

Mais alors qui s’est fait cibler ? Hé bien The Record précise que les cibles sont en Irak, Iran, Turquie et au Maroc. Comme d’hab, ce sont des dissidents politiques, des journalistes, des activistes…etc… C’est à dire des gens qui ont vraiment besoin de sécurité pour littéralement rester en vie.

Bref, si vous êtes un acteur à risque dans une région sensible, gardez en tête que les mises à jour de sécurité ne sont pas optionnelles et que même à jour, vous n’êtes jamais totalement safe malheureusement, car des société privées ayant pignon sur rue, s’amusent à mettre votre vie en jeu.

Source