Home > Landfall: cos’è questo spyware per Samsung e perché oggi non è più attivo

Landfall: cos’è questo spyware per Samsung e perché oggi non è più attivo

18 views

I ricercatori di sicurezza di Unit 42 hanno scoperto uno spyware per Samsung Galaxy finora sconosciuto, soprannominato Landfall, che sfruttava una vulnerabilità del sistema per…

Panda SecurityDic 31, 20258 min read

In this article

I ricercatori di sicurezza di Unit 42 hanno scoperto uno spyware per Samsung Galaxy finora sconosciuto, soprannominato Landfall, che sfruttava una vulnerabilità del sistema per entrare, rubare dati e sorvegliare l’utente.

Chiariamo subito: oggi Landfall non è più attivo, non attaccava i telefoni degli utenti italiani e soprattutto Samsung ha già risolto la vulnerabilità che sfruttava. Per cui, se installi regolarmente gli aggiornamenti di sistema, sei ancora più al sicuro.

Ma cos’è esattamente Landfall? Come funziona? Cosa ci insegna questo caso di cronaca e cosa possiamo fare per proteggere i nostri dispositivi dagli spyware? Ne parliamo in questo nuovo post del blog di Panda Security.

In questo articolo:

  • Cos’è Landfall, lo spyware per Samsung Galaxy?
  • Come funziona, cosa faceva e quale vulnerabilità sfruttava?
  • Come funzionano gli attacchi zero click e gli spyware moderni?
  • L’importanza di aggiornare regolarmente il telefono.

Buona lettura!

Cos’è Landfall, lo spyware per Samsung?

Landfall è uno spyware progettato per i sistemi Android, in particolare per i dispositivi Samsung Galaxy. È stato scoperto dai ricercatori di Unit 42, appartenente all’azienda americana Palo Alto Networks.

L’analisi di Unit 42 è stata pubblicata a novembre del 2025, ma Landfall esiste da fine 2024 e Samsung ha risolto il problema già a metà del 2025, con un aggiornamento del sistema che elimina la vulnerabilità che permetteva l’infezione.

Landfall è uno spyware, ovvero un malware che ruba dati dal dispositivo. Non è un virus, non è un’app fake né un tipo di truffa, ma un software che serve a sorvegliare gli utenti del dispositivo infetto, probabilmente per motivi politici.

Landfall, infatti, è stato attivo nel Medio Oriente, anche se non si conosce esattamente il suo obiettivo esatto, chi l’abbia sviluppato né chi lo usasse.

Usiamo dispositivi molto complessi, di cui non conosciamo fino in fondo il funzionamento né le eventuali falle di sicurezza.

Il caso Landfall: cos’è successo esattamente

L’uso di Landfall è stato notato durante l’analisi di file sospetti caricati online, che avevano molte caratteristiche in comune con altri attacchi simili contro il sistema iOS.

I campioni di file osservati risalgono al 2024, appartengono a sistemi che si trovavano in Medio Oriente e si sa che Samsung ha corretto la vulnerabilità nel 2025 in seguito alla segnalazione, ma senza una comunicazione chiara, visibile e rivolta al pubblico.

Questa mancanza parziale di trasparenza, anche se legale e in parte giustificata dal fatto che lo spyware non è stato trovato in altri Paesi, è il primo vero problema del caso Landfall: ogni giorno usiamo dispositivi digitali molto complessi, di cui non conosciamo fino in fondo il funzionamento né le eventuali falle di sicurezza.

Oggi, acquistare un telefono o un portatile è molto più che scegliere un modello e un prezzo: è un atto di fiducia nei confronti di un produttore, pensando che agisca nel rispetto della privacy e della sicurezza degli utenti finali.

Come funzionava l’attacco Landfall

Il secondo problema sollevato da Landfall riguarda il suo funzionamento, che purtroppo rientra nella famigerata categoria degli attacchi zero click, ovvero che non hanno bisogno di un’interazione da parte della vittima per infettare il dispositivo.

L’attacco utilizzava l’invio di immagini corrotte tramite WhatsApp in combinazione con una vulnerabilità presente nella libreria di Samsung per la elaborazione delle immagini (libimagecodec.quram.so). Il sistema non riconosceva il problema e, senza rendersene conto, eseguiva codice dannoso e installava lo spyware.

Vediamo esattamente come funziona Landfall:

  1. La vittima riceve un’immagine su WhatsApp in formato DNG.
  2. Il file immagine è malformato, e manda in confusione il componente del sistema Samsung incaricato di leggerlo e aprirlo.
  3. Questo componente non rileva la presenza di un pacchetto .zip aggiunto al file, che contiene il codice dannoso, ovvero il nucleo di Landfall.
  4. A questo punto, il sistema estrae il contenuto del pacchetto ed esegue almeno due componenti dannosi: un loader, che scarica altri moduli e malware da internet, e uno script che neutralizza le difese del sistema.
  5. L’utente finale non si è reso conto di niente: in alcuni casi non deve neanche aprire l’immagine, basta che il telefono la riceva e provi a visualizzarne l’anteprima in WhatsApp per avviare l’attacco.

È importante sottolineare che il bug non riguarda WhatsApp, ma una libreria dei telefoni Samsung.

LEGGI ANCHE: 5 alternative a WhatsApp: quali sono le migliori?

Che tipo di dati raccoglieva Landfall?

Landfall è uno spyware moderno e avanzato, che funziona per moduli: il componente iniziale si installa, neutralizza le difese del sistema e apre le porte ad altri componenti, che vengono scaricati da server remoti.

In particolare, Landfall poteva accedere a: microfono, posizione, contatti, foto e registro delle chiamate. Inoltre, poteva installare dei logger per monitorare l’attività del telefono in tempo reale, il tutto senza che l’utente se ne rendesse conto.

L’obiettivo di Landfall non era rubare denaro o dati sensibili, ma permettere a qualcuno – probabilmente qualche agenzia governativa – di controllare alcune persone, come attivisti, politici o giornalisti in Medio Oriente e Nord Africa.

Si tratta quindi di un attacco:

  • Altamente mirato
  • Con motivi e obiettivi politici o di spionaggio industriale
  • Silenzioso e potente
  • Difficile da prevenire o bloccare
  • Ormai fortunatamente risolto con un aggiornamento.

E quindi, cosa cambia per te se hai un Samsung Galaxy?

Conseguenze di Landfall per gli utenti di oggi

Come abbiamo visto, la buona notizia è che la vulnerabilità sfruttata da Landfall è stata risolta già da alcuni mesi, per cui se hai un Samsung aggiornato, non hai nulla da temere.

Se invece non aggiorni il tuo Galaxy da molto tempo, ti consigliamo di farlo subito e non solo per difenderti da un improbabile attacco con Landfall, ma da tutte le minacce che possono sfruttare altre vulnerabilità sconosciute.

Riassumendo, Landfall non è più un pericolo, ma ci insegna alcune cose importanti:

  1. È indispensabile attivare gli aggiornamenti automatici di software e sistemi operativi, per chiudere subito le falle di sicurezza non appena vengono scoperte.
  2. Gli spyware sono sempre più sofisticati e utilizzano molti metodi diversi per infettare i dispositivi, non solo le vulnerabilità dei software.
  3. Anche le grandi marche come Samsung, Apple o Google peccano di poca trasparenza, e non sono immuni da minacce e malware.
  4. Esistono minacce silenziose che non richiedono un errore umano per fare danni, per cui bisogna stare molto attenti.
  5. Le immagini non sono solo immagini: sono file con un formato e metadati precisi, che possono contenere anche altre informazioni, a volte malevole.

Come difendersi dagli spyware e dai nuovi attacchi informatici

Landfall ci insegna che le minacce digitali sono sempre più sofisticate e difficili da rilevare, per cui è fondamentale informarsi regolarmente e usare tutte le misure di protezione disponibili:

  • Mantieni sempre aggiornato il sistema operativo.
  • Installa le app solo da fonti ufficiali.
  • Fai attenzione ai link e ai file che ricevi, anche se sembrano innocui.
  • Usa una VPN (rete privata virtuale) quando ti connetti a una rete Wi-Fi pubblica. La VPN esegue la crittografia dei dati e li rende illeggibili agli occhi di eventuali criminali e ficcanaso.
  • Usa un programma di sicurezza informatica completo e facile da usare.
  • Limita le autorizzazioni che concedi alle app.
  • Fai backup periodici dei dati importanti.

Con questi semplici accorgimenti puoi ridurre al minimo le possibilità di infezioni e attacchi informatici.

In questo articolo abbiamo visto cos’è Landfall, lo spyware che colpiva i Samsung Galaxy e sfruttava le immagini inviate su WhatsApp per infettare i dispositivi e sorvegliare le vittime.

Landfall ci insegna che oggi la sicurezza non dipende solo da cosa installiamo o dai link su cui clicchiamo. Anche file comuni, come un’immagine, possono diventare pericolosi se sfruttano vulnerabilità non corrette del sistema.

Per questo motivo, mantenere il dispositivo aggiornato e proteggere l’accesso ai dati sono due difese indispensabili, sia per gli utenti Samsung che per tutti gli altri dispositivi digitali.

CONTINUA A LEGGERE: Gli smartphone dovrebbero avere una data di scadenza?

Buona navigazione e buona protezione del tuo Samsung!

Related Articles