Danny Weber
07:25 11-11-2025
© A. Krivonosov
Unit 42 avslöjar LandFall, ett spionprogram som via WhatsApp‑bilder utnyttjar CVE‑2025‑21042 i Samsung Galaxy. Drabbar S22–S24 och Z Fold; fix i april 2025.
Forskare vid Palo Alto Networks Unit 42 har blottlagt en omfattande kampanj med skadeprogrammet LandFall som under det senaste året infekterat Samsung Galaxy‑telefoner runt om i Mellanöstern. Den skadliga koden spreds via bilder skickade i WhatsApp och utnyttjade en noll‑dagars sårbarhet i ett Android‑bildbibliotek som Samsung själv utvecklat.
Exploiten gjorde det möjligt för angriparna att köra godtycklig kod på enheten och i praktiken ta full kontroll. Väl inne öppnade LandFall åtkomst till personliga data — från foton, chattar och kontakter till mikrofon och till och med plats i realtid. Ingen tryckning eller nedladdning krävdes; det räckte att ta emot en manipulerad bild för att telefonen skulle bli komprometterad.
Enligt specialister började attackerna i juli 2024 och drabbade Galaxy S22, S23 och S24 samt vissa modeller i serien Galaxy Z Fold. Infektioner observerades i Turkiet, Marocko, Iran och Irak. Experter bedömer LandFall som ett kommersiellt spionprogram som används i riktade operationer mot utvalda individer — en slutsats som ligger nära till hands givet hur angreppen genomförts.
Sårbarheten, registrerad som CVE‑2025‑21042, åtgärdades i säkerhetsuppdateringen för april 2025. De senaste modellerna, inklusive Galaxy S25, berörs inte. När ett angrepp kan smyga in via en till synes vanlig bild blir bekvämlighet lätt den största svagheten — en tydlig påminnelse om att installera säkerhetsuppdateringar i tid, även om telefonen inte längre får fullständiga systemuppgraderingar.