Onderzoekers onthullen LandFall-spyware die via gemanipuleerde WhatsApp-foto Samsung Galaxy S22/S23/S24 en Z Fold trof. Patch CVE-2025-21042 in april 2025.
© A. Krivonosov
Onderzoekers van Unit 42 van Palo Alto Networks hebben een grootschalige campagne blootgelegd met de LandFall-malware die het afgelopen jaar Samsung-Galaxy-smartphones in het Midden-Oosten trof. De kwaadaardige code verspreidde zich via afbeeldingen die per WhatsApp werden verstuurd en misbruikte een zero-daylek in een door Samsung gemaakte Android-bibliotheek voor beeldverwerking.
Dankzij het exploit konden aanvallers willekeurige code uitvoeren en in feite de volledige controle over het toestel overnemen. Eenmaal binnen gaf LandFall toegang tot persoonlijke gegevens, van foto’s, chats en contacten tot de microfoon en zelfs de locatie in real time. Tikken of iets downloaden was niet nodig: het ontvangen van een gemanipuleerde afbeelding volstond om het toestel te compromitteren.
Volgens specialisten begonnen de aanvallen in juli 2024 en waren Galaxy S22-, S23- en S24-toestellen getroffen, evenals bepaalde modellen van de Galaxy Z Fold. Besmettingen werden gezien in Turkije, Marokko, Iran en Irak. Deskundigen beoordelen LandFall als commerciële spyware die is ingezet voor gerichte operaties tegen specifieke personen. De keuze van modellen en landen wijst op een precieze focus, niet op lukraak rondgeslingerde malware.
De kwetsbaarheid, geregistreerd als CVE-2025-21042, is verholpen in de beveiligingsupdate van april 2025. De nieuwste modellen, waaronder de Galaxy S25, zijn niet getroffen. Als een doorsnee foto al voldoende is om binnen te komen, wordt achteloosheid de gevaarlijkste factor — nog een reden om beveiligingsupdates direct te installeren, ook wanneer een telefoon geen volledige systeemupgrades meer ontvangt.