Comment éliminer le malware Landfall des appareils infectés

Quel type de logiciel malveillant est Landfall ?

Landfall est un logiciel espion Android qui cible les appareils Samsung Galaxy (principalement au Moyen-Orient). Il est capable d'enregistrer des données audio, de suivre la localisation et d'accéder aux photos, aux contacts et aux journaux d'appels. Le logiciel malveillant se propage via des fichiers image DNG malveillants en exploitant une vulnérabilité dans la bibliothèque de traitement d'images de Samsung.

Le logiciel espion Landfall en détail

Landfall se propage via des fichiers image qui peuvent infecter un appareil sans que l'utilisateur n'ait besoin de cliquer sur quoi que ce soit. Ce logiciel espion comporte deux composants principaux : l'un agit comme une porte dérobée/un chargeur, tandis que l'autre modifie les paramètres de sécurité afin de lui permettre de rester caché et de continuer à fonctionner. Une fois la vulnérabilité exploitée, les charges utiles sont déposées et exécutées afin de surveiller l'appareil et d'exfiltrer des données.

Le composant chargeur de Landfall peut exécuter des modules supplémentaires pour voler des informations. Il est capable de collecter des détails tels que la version du système d'exploitation, l'identifiant matériel (IMEI), le numéro SIM/IMSI, le numéro de série SIM, les comptes utilisateur, le numéro de messagerie vocale, les paramètres réseau, l'état du VPN et du Bluetooth, les applications installées, l'emplacement et l'état du débogage USB.

De plus, il peut enregistrer du son à l'aide d'un microphone, enregistrer des appels, capturer l'historique des appels, les contacts, les SMS (et les données de messagerie), les photos prises à l'aide de l'appareil infecté, l'historique de navigation (et d'autres bases de données) et des fichiers arbitraires.

De plus, le chargeur peut charger des bibliothèques natives, exécuter le code d'une application Android directement depuis la mémoire ou depuis le stockage, injecter du code dans d'autres applications afin que le logiciel malveillant s'exécute à l'intérieur de celles-ci, intercepter ou modifier le comportement des programmes, exécuter des commandes système, affaiblir les protections et obtenir des privilèges plus élevés.

De plus, il peut surveiller le dossier multimédia WhatsApp et charger des charges utiles supplémentaires, s'enregistrer en tant que client Web WhatsApp pour interagir avec les données de l'application, et lire, modifier ou supprimer des fichiers dans les répertoires de l'application et ailleurs sur l'appareil. Enfin, le logiciel malveillant peut échapper à l'analyse et à l'exécution s'il est détecté, rester caché des modifications, dissimuler ses composants, rendre les communications C2 plus difficiles à intercepter et effacer ses traces.

On sait que les modèles Samsung visés sont les Galaxy S22, S23, S24, Galaxy Z Fold4 et Galaxy Z Flip4. Le logiciel espion se connecte secrètement à son serveur de commande pour envoyer des informations sur l'appareil infecté. Il utilise un port réseau spécial et un trafic HTTPS crypté pour masquer ses communications. Le message initial comprend des détails tels que l'identifiant de l'appareil, les informations sur l'utilisateur et l'emplacement du logiciel espion.

Conclusion

Landfall est un puissant logiciel espion capable d'infecter les appareils Samsung via des fichiers image spécialement conçus, potentiellement sans aucune interaction de l'utilisateur. Une fois infiltré, il déploie des composants qui permettent la surveillance, le vol de données et la manipulation de la sécurité de l'appareil afin de rester caché. Il communique de manière sécurisée avec un serveur distant, permettant aux attaquants de contrôler le logiciel malveillant et de collecter les informations volées.

D'autres exemples de logiciels malveillants Android sont Fantasy Hub, BankBot et GhostGrab.

Comment Landfall s'est-il infiltré dans mon appareil ?

Les cybercriminels dissimulent Landfall dans des fichiers image DNG spécialement conçus qui exploitent une faille zero-day dans la bibliothèque d'images de Samsung. Les images malveillantes contiennent une charge utile compressée que l'exploit décompresse et exécute sur l'appareil. On pense que les images sont envoyées via WhatsApp et que la chaîne d'exploitation pourrait fonctionner sans aucune intervention de l'utilisateur.

Il convient de noter que Landfall a été découvert lors d'une enquête sur une faille zero-day iOS impliquant également des images DNG malveillantes.

Comment éviter l'installation de logiciels malveillants ?

Utilisez des boutiques officielles, telles que Google Play ou des sites Web officiels, pour télécharger des applications. Maintenez votre système d'exploitation et vos applications à jour, et utilisez régulièrement des outils de sécurité fiables pour analyser votre appareil à la recherche de menaces potentielles. Évitez également d'ouvrir des fichiers ou de cliquer sur des liens contenus dans des e-mails, messages ou SMS inconnus ou inattendus.

De plus, ne faites pas confiance aux publicités, liens et autres contenus figurant sur des sites Web peu fiables.

Menu rapide :

• Introduction
• Comment supprimer l'historique de navigation du navigateur web Chrome ?
• Comment désactiver les notifications du navigateur dans le navigateur Web Chrome ?
• Comment réinitialiser le navigateur web Chrome ?
• Comment supprimer l'historique de navigation du navigateur web Firefox ?
• Comment désactiver les notifications du navigateur dans le navigateur Web Firefox ?
• Comment réinitialiser le navigateur web Firefox ?
• Comment désinstaller les applications potentiellement indésirables et/ou malveillantes ?
• Comment démarrer l'appareil Android en « mode sans échec » ?
• Comment vérifier la consommation de batterie des différentes applications ?
• Comment vérifier l'utilisation des données de différentes applications ?
• Comment installer les dernières mises à jour logicielles ?
• Comment réinitialiser le système à son état par défaut ?
• Comment désactiver les applications disposant de privilèges d'administrateur ?

Supprimer l'historique de navigation du navigateur Web Chrome :

Appuyez sur le bouton « Menu » (trois points dans le coin supérieur droit de l'écran) et sélectionnez « Historique » dans le menu déroulant qui s'ouvre.

Appuyez sur « Effacer les données de navigation », sélectionnez l'onglet « AVANCÉ », choisissez la période et les types de données que vous souhaitez supprimer, puis appuyez sur « Effacer les données ».

[Retour à la Table des Matières]

Désactiver les notifications du navigateur dans le navigateur Web Chrome :

Appuyez sur le bouton « Menu » (trois points dans le coin supérieur droit de l'écran) et sélectionnez « Paramètres » dans le menu déroulant qui s'ouvre.

Faites défiler vers le bas jusqu'à ce que vous voyiez l'option « Paramètres du site » et appuyez dessus. Faites défiler vers le bas jusqu'à ce que vous voyiez l'option « Notifications » et appuyez dessus.

Recherchez les sites Web qui envoient des notifications par navigateur, appuyez dessus et cliquez sur « Effacer et réinitialiser ». Cela supprimera les autorisations accordées à ces sites Web pour envoyer des notifications. Cependant, lorsque vous visiterez à nouveau le même site, il se peut qu'il vous demande à nouveau l'autorisation. Vous pouvez choisir d'accorder ou non ces autorisations (si vous choisissez de refuser, le site web passera dans la section « Bloqué » et ne vous demandera plus l'autorisation).

[Retour à la Table des Matières]

Réinitialisez le navigateur Web Chrome :

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Applications » et appuyez dessus.

Faites défiler vers le bas jusqu'à trouver l'application « Chrome », sélectionnez-la et appuyez sur l'option « Stockage ».

Appuyez sur « GÉRER LE STOCKAGE », puis sur « EFFACER TOUTES LES DONNÉES » et confirmez l'action en appuyant sur « OK ». Notez que la réinitialisation du navigateur supprimera toutes les données qui y sont stockées. Cela signifie que tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres non par défaut et autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites web.

[Retour à la Table des Matières]

Supprimer l'historique de navigation du navigateur Web Firefox :

Appuyez sur le bouton « Menu » (trois points dans le coin supérieur droit de l'écran) et sélectionnez « Historique » dans le menu déroulant qui s'ouvre.

Faites défiler vers le bas jusqu'à ce que vous voyiez « Effacer les données privées » et appuyez dessus. Sélectionnez les types de données que vous souhaitez supprimer et appuyez sur « EFFACER LES DONNÉES ».

[Retour à la Table des Matières]

Désactiver les notifications du navigateur dans le navigateur Web Firefox :

Rendez-vous sur le site Web qui affiche les notifications du navigateur, appuyez sur l'icône affichée à gauche de la barre d'adresse (l'icône ne sera pas nécessairement « Verrouiller ») et sélectionnez « Modifier les paramètres du site ».

Dans la fenêtre contextuelle ouverte, sélectionnez l'option « Notifications » et appuyez sur « EFFACER ».

[Retour à la Table des Matières]

Réinitialisez le navigateur Web Firefox :

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Applications » et appuyez dessus.

Faites défiler vers le bas jusqu'à trouver l'application « Firefox », sélectionnez-la et appuyez sur l'option « Stockage ».

Appuyez sur « EFFACER LES DONNÉES » et confirmez l'action en appuyant sur « SUPPRIMER ». Notez que la réinitialisation du navigateur supprimera toutes les données qui y sont stockées. Cela signifie que tous les identifiants/mots de passe enregistrés, l'historique de navigation, les paramètres non par défaut et autres données seront supprimés. Vous devrez également vous reconnecter à tous les sites web.

[Retour à la Table des Matières]

Désinstallez les applications potentiellement indésirables et/ou malveillantes :

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Applications » et appuyez dessus.

Faites défiler vers le bas jusqu'à ce que vous voyiez une application potentiellement indésirable et/ou malveillante, sélectionnez-la et appuyez sur « Désinstaller ». Si, pour une raison quelconque, vous ne parvenez pas à supprimer l'application sélectionnée (par exemple, si un message d'erreur s'affiche), essayez d'utiliser le « Mode sans échec ».

[Retour à la Table des Matières]

Démarrez l'appareil Android en « mode sans échec » :

Le « mode sans échec » du système d'exploitation Android désactive temporairement toutes les applications tierces. L'utilisation de ce mode est un bon moyen de diagnostiquer et de résoudre divers problèmes (par exemple, supprimer les applications malveillantes qui vous empêchent de le faire lorsque l'appareil fonctionne « normalement »).

Appuyez sur le bouton « Alimentation » et maintenez-le enfoncé jusqu'à ce que l'écran « Mise hors tension » s'affiche. Appuyez sur l'icône « Power off » et maintenez-la enfoncée. Après quelques secondes, l'option « Safe Mode » apparaîtra et vous pourrez l'exécuter en redémarrant l'appareil.

[Retour à la Table des Matières]

Vérifiez l'utilisation de la batterie par différentes applications :

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Maintenance de l'appareil » et appuyez dessus.

Appuyez sur « Batterie » et vérifiez l'utilisation de chaque application. Les applications légitimes/authentiques sont conçues pour consommer le moins d'énergie possible afin d'offrir la meilleure expérience utilisateur et d'économiser de l'énergie. Par conséquent, une utilisation élevée de la batterie peut indiquer que l'application est malveillante.

[Retour à la Table des Matières]

Vérifiez l'utilisation des données de différentes applications :

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Connexions » et appuyez dessus.

Faites défiler vers le bas jusqu'à ce que vous voyiez « Utilisation des données » et sélectionnez cette option. Comme pour la batterie, les applications légitimes/authentiques sont conçues pour minimiser autant que possible l'utilisation des données. Cela signifie qu'une utilisation importante des données peut indiquer la présence d'une application malveillante. Notez que certaines applications malveillantes peuvent être conçues pour fonctionner uniquement lorsque l'appareil est connecté à un réseau sans fil. C'est pourquoi vous devez vérifier à la fois l'utilisation des données mobiles et Wi-Fi.

Si vous trouvez une application qui utilise beaucoup de données alors que vous ne l'utilisez jamais, nous vous recommandons vivement de la désinstaller dès que possible.

[Retour à la Table des Matières]

Installez les dernières mises à jour logicielles :

Maintenir le logiciel à jour est une bonne pratique en matière de sécurité des appareils. Les fabricants d'appareils publient en permanence divers correctifs de sécurité et mises à jour Android afin de corriger les erreurs et les bogues qui peuvent être exploités par les cybercriminels. Un système obsolète est beaucoup plus vulnérable, c'est pourquoi vous devez toujours vous assurer que le logiciel de votre appareil est à jour.

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « Mise à jour logicielle » et appuyez dessus.

Appuyez sur « Télécharger les mises à jour manuellement » et vérifiez si des mises à jour sont disponibles. Si c'est le cas, installez-les immédiatement. Nous vous recommandons également d'activer l'option « Télécharger les mises à jour automatiquement » : cela permettra au système de vous avertir dès qu'une mise à jour est disponible et/ou de l'installer automatiquement.

[Retour à la Table des Matières]

Réinitialisez le système à son état par défaut :

Effectuer une « réinitialisation d'usine » est un bon moyen de supprimer toutes les applications indésirables, de restaurer les paramètres par défaut du système et de nettoyer l'appareil en général. Cependant, vous devez garder à l'esprit que toutes les données contenues dans l'appareil seront supprimées, y compris les photos, les fichiers vidéo/audio, les numéros de téléphone (stockés dans l'appareil, et non sur la carte SIM), les messages SMS, etc. En d'autres termes, l'appareil sera restauré à son état d'origine.

Vous pouvez également restaurer les paramètres système de base et/ou simplement les paramètres réseau.

Allez dans « Paramètres », faites défiler vers le bas jusqu'à ce que vous voyiez « À propos du téléphone » et appuyez dessus.

Faites défiler vers le bas jusqu'à ce que vous voyiez « Réinitialiser » et appuyez dessus. Choisissez maintenant l'action que vous souhaitez effectuer :
Réinitialiser les paramètres » : rétablit tous les paramètres système par défaut ;
« Réinitialiser les paramètres réseau » : rétablit tous les paramètres liés au réseau par défaut ;
« Réinitialisation des données d'usine » : réinitialise l'ensemble du système et supprime complètement toutes les données stockées ;

[Retour à la Table des Matières]

Désactivez les applications disposant de privilèges d'administrateur :

Si une application malveillante obtient des privilèges de niveau administrateur, elle peut gravement endommager le système. Pour assurer la sécurité maximale de votre appareil, vous devez toujours vérifier quelles applications disposent de tels privilèges et désactiver celles qui ne devraient pas en avoir.

Allez dans « Paramètres », faites défiler vers le bas jusqu'à « Écran de verrouillage et sécurité » et appuyez dessus.

Faites défiler vers le bas jusqu'à ce que vous voyiez « Autres paramètres de sécurité », appuyez dessus, puis appuyez sur « Applications d'administration de l'appareil ».

Identifiez les applications qui ne devraient pas disposer de privilèges d'administrateur, appuyez dessus, puis appuyez sur « DÉSACTIVER ».

Foire aux questions (FAQ)

Mon appareil est infecté par le malware Landfall, dois-je formater mon périphérique de stockage pour m'en débarrasser ?

Vous pouvez supprimer Landfall en formatant l'appareil, mais cela effacera toutes vos données. Une alternative plus sûre consiste à analyser et à nettoyer l'appareil à l'aide d'une application antivirus mobile fiable telle que Combo Cleaner.

Quels sont les principaux problèmes que peuvent causer les logiciels malveillants ?

Les logiciels malveillants peuvent accéder à des informations personnelles telles que des mots de passe ou des coordonnées bancaires, permettre à des pirates de contrôler votre appareil à distance, nuire au bon fonctionnement du système, installer d'autres logiciels malveillants ou crypter des fichiers. Cela peut entraîner des pertes financières, des usurpations d'identité, des pertes de données et d'autres problèmes graves.

Quel est l'objectif de Landfall ?

Landfall est un logiciel espion conçu pour la surveillance, le vol de données et l'accès persistant, permettant aux pirates de surveiller les appels, les messages, la localisation, les fichiers et autres données personnelles à l'insu de la victime.

Comment Landfall s'est-il infiltré dans mon appareil ?

Landfall a très probablement infecté l'appareil via une image DNG qui exploitait une faille zero-day dans la bibliothèque d'images de Samsung. L'image malveillante contenait une charge utile compressée que l'exploit a décompressée et exécutée, déposant le chargeur sur l'appareil. Ces images ont probablement été transmises via WhatsApp.

Combo Cleaner me protégera-t-il contre les logiciels malveillants ?

Combo Cleaner peut détecter et éliminer la plupart des logiciels malveillants, bien que certaines menaces sophistiquées puissent être profondément cachées. Effectuer une analyse complète de l'appareil permet de s'assurer que les logiciels malveillants sont complètement supprimés et qu'il ne reste aucun résidu dans le système.