Een lek in software van Samsung maakt een gerichte spywarecampagne mogelijk, met WhatsApp als vector. De lekken aan de basis van de campagne zijn intussen wel gepatcht door Samsung.
Onderzoekers van Palo Alto Networks’ Unit 42 hebben een nieuwe spywarecampagne ontdekt die zich richtte op Samsung-gebruikers in het Midden-Oosten. Smartphones raakten infecteerde via afbeeldingen die via WhatsApp werden verstuurd. De aanval maakte gebruik van een zero-daylek in Samsung’s beeldverwerkingsbibliotheek en werd misbruikt maanden voordat Samsung het probleem in april 2025 patchte.
Kwetsbaarheid in beeldcodec
De kwetsbaarheid (CVE-2025-21042) laat aanvallers toe om op afstand willekeurige code uit te voeren. Zo krijgen ze volledige toegang tot smartphones. Het lek werd uitgebuit door een onbekende spywarevariant genaamd LANDFALL, die sinds juli 2024 actief was en Samsung-smartphones als Galaxy S22-, S23-, S24-, Z Fold 4- en Z Flip 4-modellen in het Midden-Oosten. In Europa is de kwetsbaarheid niet uitgebuit.
De aanval startte met een bewerkt .DNG-bestand dat een ZIP-archief bevatte. Na het openen werd een script uitgevoerd dat extra componenten downloadde, waaronder een SELinux-manipulator (l.so) die beveiligingsinstellingen aanpaste om toegang te behouden.
Geavanceerde spionagefuncties
LandFall verzamelt gedetailleerde apparaatgegevens en kan gesprekken en microfoonaudio opnemen, locaties volgen en zelfs toegang krijgen tot foto’s, sms’en, contacten en browsegeschiedenis. De spyware beschikt ook over functies om detectie te ontwijken en zich blijvend te nestelen in het systeem.
De infrastructuur van LandFall lijkt op die van andere Stealth Falcon-operaties vanuit de Verenigde Arabische Emiraten, weet BleepingComputer. Onderzoekers konden echter geen directe link leggen met bekende spywarebedrijven zoals NSO Group of Cytrox.