Come eliminare il malware Landfall dai dispositivi infetti

Che tipo di malware è Landfall?

Landfall è uno spyware Android che prende di mira i dispositivi Samsung Galaxy (principalmente in Medio Oriente). È in grado di registrare audio, tracciare la posizione e accedere a foto, contatti e registri delle chiamate. Il malware si diffonde tramite file immagine DNG dannosi sfruttando una vulnerabilità nella libreria di elaborazione delle immagini di Samsung.

Spyware Landfall in dettaglio

Landfall si diffonde attraverso file immagine che possono infettare un dispositivo senza che l'utente clicchi su nulla. Lo spyware ha due componenti principali: uno funge da backdoor/loader, mentre l'altro modifica le impostazioni di sicurezza per consentirgli di rimanere nascosto e continuare a funzionare. Una volta sfruttata la vulnerabilità, i payload vengono rilasciati ed eseguiti per monitorare il dispositivo ed esfiltrare i dati.

Il componente di caricamento di Landfall può eseguire moduli aggiuntivi per rubare informazioni. È in grado di raccogliere dettagli quali la versione del sistema operativo, l'ID hardware (IMEI), SIM/IMSI, il numero di serie della SIM, gli account utente, il numero della segreteria telefonica, le impostazioni di rete, lo stato della VPN e del Bluetooth, le app installate, la posizione e lo stato del debug USB.

Inoltre, può registrare l'audio utilizzando un microfono, registrare le chiamate, acquisire la cronologia delle chiamate, i contatti, gli SMS (e i dati di messaggistica), le foto scattate con la fotocamera del dispositivo infetto, la cronologia di navigazione (e altri database) e file arbitrari.

Inoltre, il caricatore può caricare librerie native, eseguire il codice delle app Android direttamente dalla memoria o dall'archivio, iniettare codice in altre app in modo che il malware venga eseguito al loro interno, intercettare o modificare il comportamento dei programmi, eseguire comandi di sistema, indebolire le protezioni e ottenere privilegi più elevati.

Inoltre, può monitorare la cartella multimediale di WhatsApp e caricare payload aggiuntivi, registrarsi come client web WhatsApp per interagire con i dati dell'app e leggere, modificare o eliminare file all'interno delle directory dell'app e in altre parti del dispositivo. Infine, il malware può eludere l'analisi e l'esecuzione se rilevato, rimanere nascosto dalle modifiche, occultare i propri componenti, rendere più difficile l'intercettazione delle comunicazioni C2 e coprire le proprie tracce.

È noto che i modelli Samsung presi di mira sono Galaxy S22, S23, S24, Galaxy Z Fold4 e Galaxy Z Flip4. Lo spyware si connette segretamente al proprio server di comando per inviare informazioni sul dispositivo infetto. Utilizza una porta di rete speciale e traffico HTTPS crittografato per nascondere le proprie comunicazioni. Il messaggio iniziale include dettagli quali l'ID del dispositivo, le informazioni sull'utente e la posizione dello spyware.

Conclusione

Landfall è un potente spyware in grado di infettare i dispositivi Samsung tramite file immagine appositamente creati, potenzialmente senza alcuna interazione da parte dell'utente. Una volta infiltrato, distribuisce componenti che consentono la sorveglianza, il furto di dati e la manipolazione della sicurezza del dispositivo per rimanere nascosto. Comunica in modo sicuro con un server remoto, consentendo agli aggressori di controllare il malware e raccogliere le informazioni rubate.

Altri esempi di malware Android sono Fantasy Hub, BankBot e GhostGrab.

Come ha fatto Landfall a infiltrarsi nel mio dispositivo?

I criminali informatici nascondono Landfall all'interno di file immagine DNG appositamente creati che sfruttano una vulnerabilità zero-day nella libreria immagini di Samsung. Le immagini dannose contengono un payload compresso che l'exploit decomprime ed esegue sul dispositivo. Si ritiene che le immagini vengano inviate tramite WhatsApp e che la catena di exploit possa funzionare in modalità zero-click, senza richiedere alcun intervento da parte dell'utente.

Vale la pena notare che Landfall è stato scoperto mentre si indagava su un exploit zero-day per iOS che coinvolgeva anche immagini DNG dannose.

Come evitare l'installazione di malware?

Quando scarichi app, utilizza negozi ufficiali, come Google Play o siti web ufficiali. Mantieni aggiornati il sistema operativo e le app e utilizza regolarmente strumenti di sicurezza affidabili per eseguire la scansione del dispositivo alla ricerca di potenziali minacce. Inoltre, evita di aprire file o cliccare su link contenuti in e-mail, messaggi o SMS sconosciuti o inattesi.

Inoltre, non fidarti degli annunci pubblicitari, dei link e di altri contenuti presenti su siti web non affidabili.

Menu rapido:

• Introduzione
• Come eliminare la cronologia di navigazione dal browser Chrome?
• Come disattivare le notifiche del browser nel browser web Chrome?
• Come ripristinare il browser web Chrome?
• Come eliminare la cronologia di navigazione dal browser web Firefox?
• Come disattivare le notifiche del browser nel browser web Firefox?
• Come ripristinare il browser web Firefox?
• Come disinstallare applicazioni potenzialmente indesiderate e/o dannose?
• Come avviare il dispositivo Android in "Modalità provvisoria"?
• Come controllare l'utilizzo della batteria da parte delle varie applicazioni?
• Come controllare l'utilizzo dei dati delle varie applicazioni?
• Come installare gli ultimi aggiornamenti software?
• Come ripristinare le impostazioni predefinite del sistema?
• Come disabilitare le applicazioni che dispongono dei privilegi di amministratore?

Elimina la cronologia di navigazione dal browser Chrome:

Tocca il pulsante "Menu" (tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Cronologia" nel menu a tendina che si apre.

Tocca "Cancella dati di navigazione", seleziona la scheda "AVANZATE", scegli l'intervallo di tempo e i tipi di dati che desideri eliminare e tocca "Cancella dati".

[Torna al Sommario]

Disattiva le notifiche del browser nel browser web Chrome:

Tocca il pulsante "Menu" (tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Impostazioni" nel menu a tendina che si apre.

Scorri verso il basso fino a visualizzare l'opzione "Impostazioni sito" e toccala. Scorri verso il basso fino a visualizzare l'opzione "Notifiche" e toccala.

Trova i siti web che inviano notifiche al browser, toccali e clicca su "Cancella e ripristina". In questo modo verranno rimossi i permessi concessi a questi siti web per l'invio di notifiche. Tuttavia, quando visiterai nuovamente lo stesso sito, potrebbe chiederti nuovamente il permesso. Puoi scegliere se concedere o meno queste autorizzazioni (se scegli di rifiutare, il sito web passerà alla sezione "Bloccato" e non ti chiederà più l'autorizzazione).

[Torna al Sommario]

Reimposta il browser web Chrome:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.

Scorri verso il basso fino a trovare l'applicazione "Chrome", selezionala e tocca l'opzione "Memoria".

Tocca "GESTISCI MEMORIA", quindi "CANCELLA TUTTI I DATI" e conferma l'azione toccando "OK". Tieni presente che il ripristino del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrai inoltre effettuare nuovamente il login a tutti i siti web.

[Torna al Sommario]

Elimina la cronologia di navigazione dal browser web Firefox:

Tocca il pulsante "Menu" (tre puntini nell'angolo in alto a destra dello schermo) e seleziona "Cronologia" nel menu a tendina che si apre.

Scorri verso il basso fino a visualizzare "Cancella dati privati" e toccalo. Seleziona i tipi di dati che desideri rimuovere e tocca "CANCELLA DATI".

[Torna al Sommario]

Disattiva le notifiche del browser nel browser web Firefox:

Visita il sito web che invia le notifiche del browser, tocca l'icona visualizzata a sinistra della barra degli indirizzi (l'icona non sarà necessariamente una "Lucchetto") e seleziona "Modifica impostazioni sito".

Nel pop-up aperto, seleziona l'opzione "Notifiche" e tocca "CANCELLA".

[Torna al Sommario]

Reimposta il browser web Firefox:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.

Scorri verso il basso fino a trovare l'applicazione "Firefox", selezionala e tocca l'opzione "Memoria".

Tocca "CANCELLA DATI" e conferma l'azione toccando "ELIMINA". Tieni presente che il ripristino del browser eliminerà tutti i dati memorizzati al suo interno. Ciò significa che tutti i login/password salvati, la cronologia di navigazione, le impostazioni non predefinite e altri dati verranno eliminati. Dovrai inoltre effettuare nuovamente il login a tutti i siti web.

[Torna al Sommario]

Disinstallare applicazioni potenzialmente indesiderate e/o dannose:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "App" e toccalo.

Scorri verso il basso fino a visualizzare un'applicazione potenzialmente indesiderata e/o dannosa, selezionala e tocca "Disinstalla". Se, per qualche motivo, non riesci a rimuovere l'app selezionata (ad esempio, viene visualizzato un messaggio di errore), prova a utilizzare la "Modalità provvisoria".

[Torna al Sommario]

Avvia il dispositivo Android in "Modalità provvisoria":

La "Modalità provvisoria" nel sistema operativo Android disabilita temporaneamente l'esecuzione di tutte le applicazioni di terze parti. L'utilizzo di questa modalità è un ottimo modo per diagnosticare e risolvere vari problemi (ad esempio, rimuovere applicazioni dannose che impediscono agli utenti di farlo quando il dispositivo funziona "normalmente").

Premi il pulsante "Accensione" e tienilo premuto fino a quando non viene visualizzata la schermata "Spegnimento". Toccare l'icona "Spegnimento" e tenerla premuta. Dopo alcuni secondi apparirà l'opzione "Modalità provvisoria" che potrà essere eseguita riavviando il dispositivo.

[Torna al Sommario]

Controlla l'utilizzo della batteria delle varie applicazioni:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Manutenzione dispositivo" e toccalo.

Tocca "Batteria" e controlla l'utilizzo di ciascuna applicazione. Le applicazioni legittime/autentiche sono progettate per consumare il meno possibile energia, al fine di garantire la migliore esperienza utente e risparmiare energia. Pertanto, un elevato utilizzo della batteria potrebbe indicare che l'applicazione è dannosa.

[Torna al Sommario]

Controlla l'utilizzo dei dati delle varie applicazioni:

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Connessioni" e toccalo.

Scorri verso il basso fino a visualizzare "Utilizzo dati" e seleziona questa opzione. Come per la batteria, le applicazioni legittime/autentiche sono progettate per ridurre al minimo l'utilizzo dei dati. Ciò significa che un utilizzo eccessivo dei dati può indicare la presenza di applicazioni dannose. Tieni presente che alcune applicazioni dannose potrebbero essere progettate per funzionare solo quando il dispositivo è connesso a una rete wireless. Per questo motivo, è necessario controllare sia l'utilizzo dei dati mobili che quello del Wi-Fi.

Se trovi un'applicazione che utilizza molti dati anche se non la usi mai, ti consigliamo vivamente di disinstallarla il prima possibile.

[Torna al Sommario]

Installa gli ultimi aggiornamenti software:

Mantenere il software aggiornato è una buona pratica quando si tratta della sicurezza dei dispositivi. I produttori di dispositivi rilasciano continuamente varie patch di sicurezza e aggiornamenti Android per correggere errori e bug che potrebbero essere sfruttati dai criminali informatici. Un sistema obsoleto è molto più vulnerabile, motivo per cui è necessario assicurarsi sempre che il software del dispositivo sia aggiornato.

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Aggiornamento software" e toccalo.

Tocca "Scarica aggiornamenti manualmente" e verifica se sono disponibili aggiornamenti. Se sì, installali immediatamente. Ti consigliamo inoltre di abilitare l'opzione "Scarica aggiornamenti automaticamente": in questo modo il sistema ti avviserà quando sarà disponibile un aggiornamento e/o lo installerà automaticamente.

[Torna al Sommario]

Ripristina il sistema alle impostazioni predefinite:

Eseguire un "ripristino delle impostazioni di fabbrica" è un ottimo modo per rimuovere tutte le applicazioni indesiderate, ripristinare le impostazioni predefinite del sistema e pulire il dispositivo in generale. Tuttavia, è necessario tenere presente che tutti i dati presenti nel dispositivo verranno eliminati, incluse foto, file video/audio, numeri di telefono (memorizzati nel dispositivo, non nella scheda SIM), messaggi SMS e così via. In altre parole, il dispositivo verrà ripristinato al suo stato originale.

È anche possibile ripristinare le impostazioni di sistema di base e/o semplicemente le impostazioni di rete.

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Informazioni sul telefono" e toccalo.

Scorri verso il basso fino a visualizzare "Reimposta" e toccalo. Ora scegli l'azione che desideri eseguire:
" Ripristina impostazioni" - ripristina tutte le impostazioni di sistema ai valori predefiniti;
"Ripristina impostazioni di rete" - ripristina tutte le impostazioni relative alla rete ai valori predefiniti;
"Ripristino dati di fabbrica" - ripristina l'intero sistema ed elimina completamente tutti i dati memorizzati;

[Torna al Sommario]

Disattiva le applicazioni che dispongono dei privilegi di amministratore:

Se un'applicazione dannosa ottiene privilegi di amministratore, può danneggiare gravemente il sistema. Per mantenere il dispositivo il più sicuro possibile, è necessario controllare sempre quali app dispongono di tali privilegi e disabilitare quelle che non dovrebbero averli.

Vai su "Impostazioni", scorri verso il basso fino a visualizzare "Blocco schermo e sicurezza" e toccalo.

Scorri verso il basso fino a visualizzare "Altre impostazioni di sicurezza", toccalo e poi tocca "App di amministrazione del dispositivo".

Identifica le applicazioni che non dovrebbero avere privilegi di amministratore, toccale e poi tocca "DISATTIVA".

Domande frequenti (FAQ)

Il mio dispositivo è stato infettato dal malware Landfall, devo formattare il mio dispositivo di archiviazione per eliminarlo?

È possibile rimuovere Landfall formattando il dispositivo, ma ciò comporterà la cancellazione di tutti i dati. Un'alternativa più sicura consiste nel eseguire la scansione e la pulizia del dispositivo utilizzando un'app antivirus affidabile per dispositivi mobili come Combo Cleaner.

Quali sono i problemi più gravi che possono causare i malware?

Il malware può accedere a informazioni personali quali password o dati bancari, consentire agli hacker di controllare il dispositivo da remoto, danneggiare le funzionalità del sistema, installare altro software dannoso o crittografare i file. Ciò può comportare perdite finanziarie, furti di identità, perdita di dati e altri gravi problemi.

Qual è lo scopo di Landfall?

Landfall è uno spyware progettato per la sorveglianza, il furto di dati e l'accesso persistente, che consente agli aggressori di monitorare chiamate, messaggi, posizione, file e altri dati personali all'insaputa della vittima.

Come ha fatto Landfall a infiltrarsi nel mio dispositivo?

Landfall ha probabilmente infettato il dispositivo tramite un'immagine DNG che sfruttava una vulnerabilità zero-day nella libreria immagini di Samsung. L'immagine dannosa conteneva un payload compresso che l'exploit ha decompresso ed eseguito, rilasciando il loader sul dispositivo. Queste immagini sono state probabilmente inviate tramite WhatsApp.

Combo Cleaner mi proteggerà dai malware?

Combo Cleaner è in grado di rilevare ed eliminare la maggior parte dei malware, anche se alcune minacce sofisticate potrebbero essere nascoste in profondità. Eseguire una scansione completa del dispositivo aiuta a garantire che il malware venga rimosso completamente e che non rimangano tracce nel sistema.