Peneliti keamanan telah menemukan kampanye spyware canggih yang secara khusus menargetkan ponsel Samsung Galaxy selama setahun terakhir. Dijuluki “Landfall”, spyware ini mengeksploitasi kerentanan keamanan yang sebelumnya tidak diketahui – sebuah “zero-day” – pada perangkat lunak ponsel Galaxy, menyoroti ancaman terus-menerus yang ditimbulkan oleh alat pengawasan canggih.
Kerentanan Zero-Day dan Eksploitasinya
Spyware tersebut, pertama kali terdeteksi pada Juli 2024, memanfaatkan kelemahan pada perangkat lunak Samsung Galaxy yang tidak disadari oleh Samsung pada saat itu. Kerentanan ini memungkinkan penyerang untuk memasang spyware di ponsel korban hanya dengan mengirimkan gambar berbahaya, kemungkinan besar melalui aplikasi perpesanan. Yang mengkhawatirkan, serangan ini mungkin tidak memerlukan interaksi apa pun dari pengguna ponsel, sehingga sangat sulit untuk dideteksi dan dicegah.
Samsung mengatasi kerentanan keamanan, yang sekarang diidentifikasi sebagai CVE-2025-21042, pada bulan April 2025. Namun, hingga saat ini, rincian tentang kampanye spyware yang secara aktif mengeksploitasi kerentanan ini belum diungkapkan kepada publik.
Mengidentifikasi Taktik dan Potensi Target
Para peneliti di Unit 42 Palo Alto Networks telah mencatat bahwa ini tampaknya merupakan “serangan presisi” yang menargetkan individu tertentu, bukan distribusi malware yang luas. Hal ini menunjukkan bahwa kampanye tersebut didorong oleh spionase, dimana para penyerang berfokus pada pengumpulan informasi intelijen pada target tertentu.
Meskipun pengembang spesifik spyware Landfall masih belum diketahui, Unit 42 telah menemukan tautan menarik ke vendor pengawasan terkenal bernama Stealth Falcon. Stealth Falcon sebelumnya terlibat dalam serangan spyware terhadap jurnalis, aktivis, dan pembangkang Uni Emirat Arab sejak tahun 2012. Tumpang tindihnya infrastruktur digital antara Landfall dan Stealth Falcon menimbulkan kecurigaan, meskipun kaitan langsung dengan pemerintah tertentu masih belum dapat dikonfirmasi.
Cakupan Geografis dan Penargetan Perangkat
Analisis terhadap sampel spyware Landfall yang diunggah ke VirusTotal mengungkapkan aktivitas yang berasal dari Maroko, Iran, Irak, dan Turki sepanjang tahun 2024 dan awal tahun 2025. Khususnya, tim kesiapan siber nasional Turki (USOM) menandai salah satu alamat IP yang digunakan oleh Landfall sebagai alamat IP berbahaya, sehingga semakin mendukung teori bahwa individu di Turki menjadi sasarannya.
Kode spyware secara khusus merujuk pada lima model ponsel Galaxy, termasuk Galaxy S22, S23, dan S24, serta beberapa perangkat seri Z. Para peneliti yakin kerentanan mungkin meluas ke perangkat Galaxy lain yang menjalankan Android versi 13 hingga 15.
Kemampuan Landfall Spyware
Mirip dengan spyware tingkat pemerintah lainnya, Landfall menawarkan kemampuan pengawasan perangkat yang luas. Ia mampu mengakses berbagai data pribadi, termasuk foto, pesan, kontak, dan log panggilan. Selain itu, dapat mengaktifkan mikrofon perangkat untuk merekam audio dan melacak lokasi pengguna secara tepat.
Penemuan terbaru ini menggarisbawahi tantangan yang ditimbulkan oleh spyware canggih dan perlunya peningkatan kewaspadaan di antara individu yang berisiko menjadi target pengawasan.
Munculnya Landfall menyoroti ancaman serangan spyware yang terus-menerus dan terus berkembang, khususnya terhadap individu di wilayah yang terkenal dengan aktivisme politik dan sosial. Meskipun Samsung telah menambal kerentanan spesifiknya, insiden ini berfungsi sebagai pengingat akan pentingnya selalu memperbarui perangkat dan berhati-hati saat membuka lampiran atau tautan dari sumber yang tidak tepercaya.
