Piratage de téléphones Samsung via WhatsApp : Le Maroc parmi les pays les plus visés

Une campagne d’espionnage numérique exploite des photos pour pirater des appareils

Des chercheurs en cybersécurité ont découvert une campagne sophistiquée de logiciels espions ciblant les utilisateurs de téléphones Samsung dans un certain nombre de pays, dont le Maroc, à l’aide d’un nouveau logiciel espion connu sous le nom de LANDFALL.
Selon un rapport de l’équipe Unit 42 de Palo Alto Networks, l’opération s’est appuyée sur une vulnérabilité critique et non divulguée auparavant dans la bibliothèque de traitement d’images de Samsung (CVE-2025-21042).
Les attaquants ont exploité cette vulnérabilité pour insérer des logiciels malveillants dans des fichiers d’images DNG, qui ont été envoyés aux victimes via WhatsApp, sans nécessiter aucune interaction de la part de l’utilisateur, puisqu’il suffit que l’image atteigne le téléphone pour que le piratage démarre automatiquement.

Des capacités d’espionnage très furtives

Une fois qu’un appareil a été compromis, LANDFALL donne aux attaquants des pouvoirs de surveillance complets qui comprennent l’enregistrement de la voix par le microphone, le suivi de la géolocalisation et l’accès aux photos, aux contacts et aux journaux d’appels.
Le rapport indique que le logiciel se caractérise par une grande furtivité, une persistance et des capacités de collecte de données, ce qui en fait l’un des outils d’espionnage les plus sophistiqués ciblant les utilisateurs d’appareils Samsung modernes.
Les chercheurs ont également révélé que la campagne était active depuis la mi-2024, avant que Samsung ne publie une mise à jour de sécurité en avril 2025 pour corriger la vulnérabilité, ce qui signifie que l’attaque n’a pas été détectée pendant des mois.
Des fichiers malveillants associés à LANDFALL ont été téléchargés sur VirusTotal depuis l’Irak, l’Iran, la Turquie et le Maroc, ce qui confirme que les utilisateurs de ces pays figuraient parmi les principales cibles.

L’attaque est liée à des entités privées du Moyen-Orient.

L’analyse de l’infrastructure numérique de l’attaque a montré une ressemblance évidente avec les activités connues de cyberespionnage associées à des acteurs privés au Moyen-Orient, connus sous le nom de PSOA (Private Sector Offensive Actors), des entités qui fournissent des outils d’espionnage pour le compte d’autres parties.
Le rapport établit également un lien entre cette opération et une série d’attaques similaires visant les iPhones en août 2025, par le biais d’une vulnérabilité similaire dans WhatsApp, qui a été exploitée de la même manière à l’aide de fausses photos.

Samsung a confirmé que les vulnérabilités exploitées ne représentaient plus une menace pour les utilisateurs actuels, les ayant fermées définitivement dans les mises à jour de sécurité ultérieures, qui incluaient également une autre vulnérabilité enregistrée sous le nom de CVE-2025-21043.

Selon l’unité de recherche, cet incident est l’un des logiciels espions les plus rares découverts avant son annonce officielle, les chercheurs décrivant LANDFALL comme « l’un des logiciels espions les plus furtifs et les plus sophistiqués de ces dernières années ».