Een recent geïdentificeerde Android‑spywarevariant, genaamd Landfall, misbruikt zero‑day‑kwetsbaarheden om Samsung Galaxy‑smartphones aan te vallen, meldt Palo Alto Networks’ Unit 42.
Volgens onderzoekers was de campagne actief van midden 2024 tot begin 2025 en werd zij waarschijnlijk ingezet door door de staat gesteunde of commerciële surveillanten. De aanvalsketen maakte gebruik van een ernstige remote‑code‑execution‑fout in Samsung’s beeldverwerkingsbibliotheek (CVE‑2025‑21042, score 9,8), die in april 2025 werd gepatcht.
Unit 42 meldt dat kwaadaardige DNG‑beeldbestanden de malware verspreidden, vermoedelijk via WhatsApp. Het openen of ontvangen van deze bestanden triggerde een exploit die een verborgen archief uitpakte en de spyware installeerde. De techniek kwam overeen met een eerdere hoog‑profiel exploitketen via WhatsApp die in augustus 2025 opdook.
Landfall is ontworpen om diverse Samsung‑modellen te targeten, waaronder de Galaxy S22, S23, S24‑serie, evenals de Z Fold4 en Z Flip4. Getroffen gebruikers lijken zich te bevinden in het Midden‑Oosten en Noord‑Afrika, waaronder Irak, Iran, Turkije en Marokko.
Volgens de onderzoekers bevat Landfall een hoofdloader en een component die SELinux‑beleid manipuleert om verhoogde privileges veilig te stellen. Zelfs zonder volledige payload kan de spyware uitgebreide apparaatdetails verzamelen zoals hardware‑identifiers, SIM‑informatie, locatiegegevens, netwerkinstellingen en accountprofielen. Ook is opnemen van audio, verzamelen van oproeplogs, contacten, berichten, browsegeschiedenis en bestanden mogelijk.
De onderzoekers ontdekten zes command‑and‑control‑servers die door de operatie werden gebruikt. Unit 42 omschrijft Landfall als “commercial‑grade” spyware en merkt op dat het gebruik van meerdere zero‑day‑exploits overeenkomt met tools die door offensieve actoren in de private sector worden ontwikkeld en verkocht.
De bekendste spyware die door overheidsinstanties wordt gebruikt, is Pegasus, ontwikkeld door NSO Group. Deze spywareontwikkelaar is recentelijk permanent verbannen van WhatsApp vanwege het gericht aanvallen van gebruikers van de berichtendienst.
Een ander recent schandaal waarbij een overheidsinstantie spyware inzette, werd gelinkt aan het Italiaanse bedrijf Memento Labs.
