Investigadores en ciberseguridad han desvelado una campaña de espionaje digital dirigida a usuarios de Android mediante un ‘software’ espía denominado Landfall. Este spyware, activo durante un año, explotó una vulnerabilidad de día cero en smartphones para robar datos personales como fotos, mensajes, contactos, registros de llamadas y la ubicación de los usuarios, e incluso logró intervenir el micrófono de los dispositivos afectados.

El ataque se propagó a través de archivos de imagen DNG enviados por mensajería instantánea, como WhatsApp, sin que las víctimas tuvieran que hacer clic o interactuar con el archivo.

Así actuaba Landfall: uso de imágenes maliciosas, robo de datos y acceso silencioso

El análisis de la Unidad 42 de Palo Alto Networks detalla que los primeros indicios de actividad de Landfall se remontan a julio de 2024. Este spyware se difundía al infectar dispositivos mediante una imagen DNG manipulada, explotando una vulnerabilidad ubicada en la biblioteca ‘libimagecodec.quram.so’ asociada con la decodificación de imágenes.

El error —de tipo escritura fuera de límites— permitía la ejecución remota de código arbitrario por parte de los atacantes.

Una vez que el archivo llegaba al dispositivo, Landfall obtenía acceso total a datos sensibles, logrando extraer información personal y hasta activar funciones de vigilancia, como el micrófono, sin la intervención del usuario.

Según explican los expertos, esta campaña destacaba por su precisión, siendo un “ataque de precisión” enfocado en víctimas concretas en lugar de una distribución masiva e indiscriminada.

La campaña permaneció activa y sin ser detectada durante casi un año, lo que evidencia la sofisticación de los métodos empleados y la dificultad de detección de este tipo de amenazas en entornos móviles.

Aunque la escala del ataque y la identidad del proveedor detrás de Landfall siguen sin conocerse, se confirma que ha tenido consecuencias directas para un número indeterminado de usuarios.

La conclusión de la investigación liderada por Itay Cohen, principal investigador senior de la Unidad 42, es que Landfall fue ideado y ejecutado como una operación de espionaje con objetivos específicos, utilizando redes sociales y mensajería como vector principal de ataque.

Este caso pone en relieve la vulnerabilidad de los dispositivos móviles ante amenazas avanzadas y la importancia de mantener sistemas actualizados y contar con soluciones proactivas de ciberseguridad.

Cómo funcionan los ataques a través de archivos de imagen DNG

El ataque a través de archivos de imagen DNG (Digital Negative) se basa en la manipulación de este formato fotográfico para introducir código malicioso oculto dentro de la imagen. Esta técnica explota vulnerabilidades en los programas o aplicaciones que procesan imágenes DNG, permitiendo que el archivo, al ser abierto, ejecute instrucciones dañinas en el dispositivo del usuario.

El proceso suele consistir en crear una imagen DNG alterada que aparenta ser legítima. Cuando la víctima descarga y visualiza el archivo, el sistema interpreta el código malicioso incrustado, lo que puede dar acceso remoto al atacante o instalar malware sin que el usuario lo advierta.

Este tipo de ataque es difícil de detectar, ya que el archivo conserva la apariencia y funcionalidad normal de una fotografía. Su prevención requiere mantener actualizados los sistemas y emplear soluciones de seguridad confiables.

Qué es un spyware y cómo afecta la seguridad de tus dispositivos

Un spyware es un tipo de software malicioso diseñado para espiar la actividad del usuario en un dispositivo sin su consentimiento. Este programa recopila información como contraseñas, datos bancarios, historial de navegación y mensajes, transmitiéndola a terceros con fines fraudulentos o publicitarios.

El spyware puede encontrarse en aplicaciones aparentemente legítimas, enlaces sospechosos o archivos descargados de internet. Suele operar en segundo plano, pasando desapercibido para el usuario e impactando la seguridad y el rendimiento del equipo.

Para protegerse, es fundamental utilizar software antivirus actualizado, evitar descargar archivos de fuentes no oficiales y revisar periódicamente el funcionamiento del dispositivo.