Een geavanceerde spywarecampagne die bekend staat als “Landfall” is gevonden gericht op eigenaren van Samsung Galaxy-smartphones en waarschijnlijk andere Android-apparaten. De campagne werd ontdekt door cybersecurity-onderzoekers bij Palo Alto Networks’ Unit 42 , die zeggen dat de tool een zero-day remote code execution-kwetsbaarheid (CVE-2025-21042) gebruikte in de beeldverwerkingsbibliotheek van Samsung libimagecodec.quram.so. De fout had een ernstscore van 9.8 uit 10 en stelde aanvallers in staat om de volledige controle over een apparaat te nemen zonder tussenkomst van de gebruiker.
Volgens het rapport was de spyware ingebed in kwaadaardige DNG-afbeeldingsbestanden die leken te zijn gedeeld via WhatsApp of andere berichten-apps. Toen ze werden geopend, pakten de bestanden een archief met verborgen .zip uit dat een loader en een policy-manipulator-module installeerde die verhoogde machtigingen verleende via het SELinux-beleid van het systeem. Eenmaal actief, kan de spyware locatiegegevens, microfoonopnames, belgeschiedenis, berichten, foto’s en bestanden verzamelen. Het had ook persistentiemechanismen die in staat waren om native code uit te voeren, bibliotheken te injecteren en detectie te ontwijken door de originele afbeeldingsbestanden te verwijderen.
De getroffen apparaten zijn onder meer Samsung Galaxy S22-, S23-, S24-, Z Fold4- en Z Flip4-modellen. De campagnes lijken zich te hebben gericht op slachtoffers in het Midden-Oosten en Noord-Afrika, waaronder Irak, Iran, Turkije en Marokko. Hoewel er geen directe toeschrijving werd verstrekt, zegt Unit 42 dat de tool “commerciële kwaliteit” lijkt en waarschijnlijk wordt gebruikt door offensieve actoren uit de particuliere sector die diensten verlenen aan overheidsinstanties.
Samsung-gebruikers moeten nu actie ondernemen om hun apparaten te beschermen
Samsung heeft in april 2025 firmware-updates uitgebracht om de kwetsbaarheid te verhelpen, en gebruikers worden dringend verzocht alle beschikbare patches onmiddellijk toe te passen. Slachtoffers die geen updates hebben toegepast, lopen mogelijk het risico op overname op afstand zonder zichtbare tekenen van compromittering. Eenheid 42 identificeerde ten minste zes command-and-control-servers die actief door de aanvallers werden gebruikt, wat wijst op een lopende operatie.
Beveiligingsexperts raden Galaxy-bezitters aan om verschillende belangrijke stappen te nemen: zorg ervoor dat hun apparaatsoftware volledig is bijgewerkt, vermijd het openen van afbeeldingsbijlagen van onbekende of ongevraagde bronnen en schakel sterke beveiligingen op apparaatniveau in, zoals biometrische authenticatie of pincodes. Het is ook raadzaam om alleen apps uit vertrouwde winkels te gebruiken en functies zoals Samsung Knox of de ingebouwde bedreigingsdetectie van Android in te schakelen, indien beschikbaar. Omdat de spyware toegang heeft tot diepe systeemmachtigingen, kunnen methoden nodig zijn die verder gaan dan de standaard anti-malwaretools.
Dit incident laat zien hoe op berichten gebaseerde infectievectoren, zoals DNG-bestanden, krachtige bedreigingen kunnen vormen voor mobiele gebruikers. Het onderstreept ook de risico’s wanneer een veelgebruikt apparaat in het vizier komt van geavanceerde spionagetools. Voor getroffen gebruikers moet de focus nu liggen op detectie, inperking en herstel.