Ir al contenido

LANDFALL: el spyware que entró por una foto en Samsung Galaxy

Unit 42 reveló el 7 de noviembre de 2025 una operación de spyware “comercial” que explotó fallas en el procesamiento de imágenes para infectar dispositivos Galaxy sin tocar nada.

Unit 42 reveló el 7 de noviembre de 2025 una operación de spyware “comercial” que explotó fallas en el procesamiento de imágenes para infectar dispositivos Galaxy sin tocar nada

¿Qué pasó y por qué importa?

Investigadores de seguridad identificaron “LANDFALL”, un spyware para Android usado en ataques dirigidos que aprovechó una vulnerabilidad de Samsung (CVE-2025-21042) en la librería de procesamiento de imágenes. El truco: imágenes DNG malformadas entregadas —posiblemente— por mensajería, capaces de activar el exploit y tomar control del equipo para grabar audio, ubicar al usuario y extraer archivos. Samsung parchó el problema meses atrás, pero el caso confirma una tendencia peligrosa: ataques “cero-clic” a través de multimedia aparentemente inocente. (Unit 42)

¿Estoy en riesgo si no tengo un Galaxy?

Aunque el objetivo confirmado fueron dispositivos Samsung y blancos específicos, la técnica —explotar parsers de imágenes— ha aparecido en más plataformas móviles este año. Si tu teléfono no instala parches con regularidad, el riesgo aumenta. Mantener el sistema y las apps al día sigue siendo la barrera más efectiva. (Unit 42)

Señales de posible compromiso

  • Calentamiento y drenaje inusual de batería aún en reposo.
  • Permisos sensibles (micrófono, localización, accesibilidad) activados por apps que no los necesitan.
  • Tráfico de datos elevado sin explicación.
  • Servicios “desconocidos” que se reinician solos tras cerrar apps.
  • Cambios en ajustes de seguridad que tú no hiciste.

Nota: LANDFALL fue una campaña dirigida; estas señales son genéricas para cualquier troyano/spyware moderno.

Medidas inmediatas (usuarios)

  • Actualiza ya: instala el parche de seguridad más reciente de tu fabricante y de Google Play. (Unit 42)
  • Desactiva la descarga automática de fotos/videos en apps de mensajería y evita abrir formatos raros (como DNG) si no son imprescindibles.
  • Revisa permisos: Configuración → Privacidad/Permisos. Revoca micrófono, cámara, ubicación y accesibilidad donde no haga falta.
  • Play Protect y antivirus: ejecuta un escaneo y, si detecta algo, respalda y restablece de fábrica.

Medidas para empresas (BYOD y flotas móviles)

  • MDM/EMM: fuerza versión mínima de parche, bloquea carga lateral (sideloading) y restringe apps.
  • Política de adjuntos: detén o inspecciona archivos “crudos” (DNG/TIFF) en canales corporativos.
  • ZTA móvil: segmenta acceso a datos sensibles según postura del dispositivo (parches, integridad, root/jailbreak).
  • Detección: integra telemetría móvil en tu SIEM y crea reglas para picos de datos, activación de sensores y procesos de cámara/audio en segundo plano.

Lecciones para 2026

  1. Los ataques “cero-clic” vía multimedia llegaron para quedarse. 2) La higiene de parches móviles será un KPI de seguridad, no un trámite. 3) Las marcas reforzarán sus librerías de imágenes; mientras tanto, la prudencia del usuario y controles corporativos harán la diferencia. (The Hacker News)

¿Tu sitio o app aún no reflejan buenas prácticas de seguridad ni rendimiento? 

En www.sitesupremacy.com unimos diseño web, SEO y marketing con foco en confianza y conversión

Escríbenos en www.sitesupremacy.com y llevemos tu presencia digital al siguiente nivel.

¡Empieza hoy!

José Mario Rivera Carranza 11 de noviembre de 2025
Compartir
Archivar
Ransomware “desde adentro”: las lecciones que toda pyme debe aplicar hoy
A inicios de noviembre, autoridades de EE. UU. imputaron a profesionales de ciberseguridad por operar ataques vinculados a ALPHV/BlackCat; esto cambia cómo evaluamos a proveedores y controles internos.