Una vulnerabilidad en los teléfonos Samsung volvió a encender las alarmas de la comunidad de ciberseguridad. Se trata de la CVE-2025-21042, un fallo grave en el procesamiento de imágenes que fue aprovechado para instalar spyware de grado comercial en dispositivos Android, posiblemente con fines de espionaje gubernamental.
La CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.) ha incluido esta vulnerabilidad en su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) y ha ordenado a todas las agencias federales corregirla antes de diciembre. La razón: su uso activo para distribuir el software espía LANDFALL, una herramienta avanzada que puede capturar llamadas, mensajes y datos sensibles sin que el usuario lo note.
El fallo CVE-2025-21042 reside en la biblioteca libimagecodec.quram.so, que se encarga del procesamiento de imágenes en los dispositivos Samsung Galaxy. La vulnerabilidad es del tipo “escritura fuera de límites”, lo que permite a los atacantes ejecutar código arbitrario de forma remota, comprometiendo por completo el teléfono de la víctima.
Aunque Samsung publicó un parche en abril de 2025, los investigadores descubrieron que el fallo ya estaba siendo explotado activamente meses antes. Según un informe de Palo Alto Networks, esta vulnerabilidad fue parte de una cadena de explotación sin clics, es decir, que no requiere interacción del usuario, usando imágenes maliciosas especialmente manipuladas para ejecutar el ataque.
Este tipo de método recuerda a los ataques de día cero contra iOS y WhatsApp detectados en 2025, donde las imágenes DNG (Digital Negative) se usaron como vehículos para entregar malware. En ambos casos, los atacantes aprovecharon debilidades en los mecanismos de análisis de imágenes para infiltrarse en los dispositivos.
Lo más peligroso de esta vulnerabilidad es que el usuario no tiene que hacer nada para infectarse. Basta con recibir una imagen aparentemente legítima, por ejemplo, a través de WhatsApp o servicios de mensajería, para que el exploit se active automáticamente.
Los investigadores detallaron que las imágenes DNG utilizadas por los atacantes incluían un archivo ZIP oculto dentro de su estructura. Este archivo contenía bibliotecas .so (objetos compartidos) que, una vez extraídas, instalaban el spyware LANDFALL en el dispositivo.
El resultado: el atacante obtenía acceso total al teléfono, pudiendo activar el micrófono, grabar llamadas, robar mensajes, contactos, fotos y datos de ubicación, además de evadir detección por parte de las herramientas de seguridad del sistema.
LANDFALL es un software espía de tipo modular, diseñado específicamente para dispositivos Samsung Galaxy. Esto significa que su estructura permite agregar o eliminar componentes según las necesidades del atacante.
Entre sus capacidades confirmadas destacan:
Los analistas de Palo Alto Networks señalan que el comportamiento del cargador de LANDFALL muestra “características de software comercial”, lo que sugiere que podría ser parte de un programa de espionaje desarrollado profesionalmente y vendido a entidades gubernamentales o empresas privadas.
El análisis de los archivos maliciosos subidos a VirusTotal indica que las víctimas principales de esta campaña se encontraban en Irán, Turquía y Marruecos.
El CERT nacional de Turquía (Centro de Respuesta a Incidentes Cibernéticos) confirmó que las direcciones IP utilizadas por los servidores de control (C2) de LANDFALL eran maliciosas y estaban relacionadas con grupos APT (Amenazas Persistentes Avanzadas) dedicados al espionaje móvil.
Además, los investigadores observaron que la infraestructura de LANDFALL comparte similitudes con Stealth Falcon, un grupo conocido por atacar a periodistas, activistas y defensores de derechos humanos en los Emiratos Árabes Unidos. Sin embargo, no existen pruebas suficientes para atribuir con certeza esta campaña al mismo actor.
Esto abre la posibilidad de que LANDFALL sea obra de un grupo mercenario cibernético, un fenómeno cada vez más común, donde empresas privadas venden herramientas de espionaje a gobiernos o corporaciones interesadas en la vigilancia encubierta.
Conoce más: Riesgos de Seguridad en Android Económicos
Aunque esta vulnerabilidad fue corregida en abril de 2025, muchos usuarios aún no han instalado las actualizaciones de seguridad necesarias. En TecnetOne, te recomendamos seguir estos pasos para protegerte:
El incidente de Samsung demuestra que los ataques sin clics y el espionaje móvil de grado comercial ya no son un problema aislado, sino una tendencia creciente.
Los actores maliciosos han aprendido a explotar vulnerabilidades en bibliotecas básicas del sistema, como las de procesamiento de imágenes, lo que les permite infiltrarse sin dejar rastro ni requerir interacción humana.
Además, la línea que separa el cibercrimen del espionaje estatal o corporativo se difumina cada vez más. Herramientas como LANDFALL, diseñadas con precisión quirúrgica, pueden ser tan efectivas como las empleadas por agencias gubernamentales de inteligencia.
Para las empresas y organismos públicos, el mensaje es claro: la ciberseguridad móvil debe ser una prioridad. No basta con proteger redes o servidores; los dispositivos personales y corporativos son ahora el eslabón más débil de la cadena digital.
La vulnerabilidad CVE-2025-21042 en los dispositivos Samsung permitió a atacantes distribuir spyware avanzado sin interacción del usuario, mediante imágenes DNG manipuladas. Aunque el parche ya está disponible, su explotación demuestra lo fácil que es usar una simple foto como puerta de entrada al espionaje digital.
En TecnetOne creemos que la prevención y la educación tecnológica son la mejor defensa. Mantén tus sistemas actualizados, sé escéptico ante archivos desconocidos y recuerda que cada actualización de seguridad puede ser la diferencia entre estar protegido o ser la próxima víctima.