Alerta de seguridad: Spyware ataca dispositivos Samsung Galaxy a través de WhatsApp

Un nuevo malware dirigido está acechando a los usuarios de Samsung Galaxy. El spyware se propaga a través de WhatsApp, aprovechando vulnerabilidades no parcheadas.

¿Cómo actúa? El software malicioso se instala silenciosamente al interactuar con mensajes fraudulentos. Una vez dentro, roba datos sensibles—desde credenciales bancarias hasta mensajes privados.

Las víctimas ni siquiera notan la intrusión hasta que es demasiado tarde. Y sí, esto incluye a esos traders de cripto que creen que sus Galaxy Fold son fortalezas inexpugnables.

Soluciones inmediatas: Actualiza tu sistema operativo, evita enlaces sospechosos y—por amor a Satoshi—usa autenticación de dos factores. Porque hasta el blockchain más seguro se derrumba si tu dispositivo está comprometido.

El malware LANDFALL ataca dispositivos Android Samsung

Según el informe de investigación de la Unidad 42 publicado el 7 de noviembre, el malware específico para Android estaba presente en las muestras de iOS oculto en archivos de imagen Digital Negative (DNG).

Algunos propietarios de teléfonos Samsung Galaxy informaron haber visto nombres al estilo de WhatsApp como “IMG-20240723-WA0000.jpg”, que fueron subidos a VirusTotal desde ubicaciones como Marruecos, Irán, Irak y Turquía entre julio de 2024 y principios de 2025.

LANDFALL utiliza un tipo de exploit denominado “CVE-2025-21042”, una vulnerabilidad en la biblioteca de procesamiento de imágenes libimagecodec.quram.so . CVE-2025-12725 también es un error de escritura fuera de límites en WebGPU, el componente de procesamiento gráfico del navegador Chrome de Google.

La vulnerabilidad se corrigió en abril de 2025 tras informes de explotación activa, pero no antes de que hubiera dañado archivos DNG malformados que contenían un archivo ZIP adjunto en varios dispositivos. Unit 42 explicó que engañaba a la biblioteca vulnerable para que extrajera trac ejecutara bibliotecas de objetos compartidos (.so) que instalaban el spyware en los dispositivos.

Según el informe de Unit 42, el software espía activa los micrófonos para grabar, traca los usuarios mediante GPS y roba información de forma sutil, como fotos, contactos, registros de llamadas y mensajes. Los modelos Samsung Galaxy afectados incluyen las series S22, S23, S24 y Z, específicamente aquellos con las versiones de Android 13, 14 y 15. 

La vulnerabilidad de día cero también está afectando al análisis de imágenes DNG en Apple iOS , donde los desarrolladores de WhatsApp descubrieron que los atacantes estaban combinando la vulnerabilidad de Apple con el fallo para obligar a los dispositivos a procesar contenido de URL maliciosas.

La segunda parte de LANDFALL, denominada b.so, se conecta a su servidor de comando y control (C2) mediante HTTPS a través de un puerto TCP temporal no estándar. El malware puede enviar señales de ping para comprobar si el servidor está activo antes de iniciar el tráfico cifrado. Esto se explica en el apéndice técnico del informe.

Una vez que la conexión HTTPS está activa, b.so transmite una solicitud POST que contiene información detallada sobre el dispositivo infectado y la instancia de spyware, incluyendo el ID del agente, la ruta del dispositivo y el ID del usuario.

En septiembre, WhatsApp informó a Samsung sobre una vulnerabilidad relacionada (CVE-2025-21043). La compañía de mensajería advirtió a los usuarios que un mensaje malicioso podría aprovechar fallos en el sistema operativo para comprometer los dispositivos y los datos que contienen.

“Nuestra investigación indica que es posible que haya recibido un mensaje malicioso a través de WhatsApp, aprovechando otras vulnerabilidades del sistema operativo de su dispositivo”, informó Meta en una actualización de seguridad. “Si bien no podemos confirmar con certeza que su dispositivo haya sido comprometido, queríamos informarle por precaución”.

La semana pasada, el diario The Peninsula informó que la campaña podría estar traccon software espía vinculado a estados en dispositivos móviles de Oriente Medio. Pegasus de NSO Group, Predator de Cytox/Intellexa y FinFisher FinSpy de Gamma llevan tiempo vinculados a ataques similares. 

Google proporciona actualizaciones para contrarrestar una vulnerabilidad de seguridad de día cero.

Según un informe anterior de Google, estos actores fueron responsables de casi la mitad de todas las vulnerabilidades de día cero en sus productos entre 2014 y 2023. El mes pasado, un tribunal federal estadounidense prohibió al grupo israelí NSO realizar ingeniería inversa de WhatsApp para distribuir software espía.

“Parte de lo que empresas como WhatsApp 'venden' es la privacidad de la información, y cualquier acceso no autorizado constituye una interferencia con esa venta”, declaró la jueza de distrito estadounidense Phyllis Hamilton en su fallo.

Los gigantes tecnológicos lanzaron la versión 142 de Chrome la semana pasada para solucionar cinco vulnerabilidades de seguridad críticas, tres de las cuales presentaban un alto riesgo. La actualización se distribuyó en ordenadores y dispositivos Android mediante parches publicados a través de Google Play.

CVE-2025-12727 afecta al motor JavaScript V8 de Chrome, que es responsable de la ejecución del rendimiento, mientras que CVE-2025-12726 afecta al administrador de la interfaz de usuario del navegador, Chrome Views. 

Los profesionales de ciberseguridad ahora piden a los usuarios de Samsung Galaxy que apliquen inmediatamente la actualización de seguridad de abril de 2025 para corregir la vulnerabilidad CVE-2025-21042. 

Hazte notar donde importa. Publicita en Cryptopolitan Research y llega a los inversores y creadores de criptomonedas más inteligentes.