Beveiligingsonderzoekers hebben het afgelopen jaar een geavanceerde spywarecampagne ontdekt die specifiek gericht was op Samsung Galaxy-telefoons. De spyware, genaamd ‘Landfall’, maakte misbruik van een voorheen onbekend beveiligingsprobleem – een ‘zero-day’ – in de Galaxy-telefoonsoftware, waardoor de aanhoudende dreiging van geavanceerde bewakingstools werd benadrukt.
De zero-day-kwetsbaarheid en de exploitatie ervan
De spyware, die voor het eerst werd ontdekt in juli 2024, maakte gebruik van een fout in de Galaxy-software van Samsung waarvan Samsung zich destijds niet bewust was. Door dit beveiligingslek konden aanvallers de spyware mogelijk op de telefoon van een slachtoffer installeren door eenvoudigweg een kwaadwillig vervaardigde afbeelding te verzenden, waarschijnlijk via een berichtentoepassing. Het is zorgwekkend dat deze aanval mogelijk geen interactie van de gebruiker van de telefoon vereiste, waardoor het uiterst moeilijk te detecteren en te voorkomen was.
Samsung heeft het beveiligingsprobleem, nu geïdentificeerd als CVE-2025-21042, in april 2025 aangepakt. Tot nu toe waren details over de spywarecampagne die actief misbruik maakte van dit beveiligingslek echter niet openbaar gemaakt.
Identificatie van de tactieken en potentiële doelen
De onderzoekers van Palo Alto Networks’ Unit 42 hebben opgemerkt dat dit een ‘precisieaanval’ lijkt te zijn die gericht is op specifieke individuen, en niet op een wijdverbreide verspreiding van malware. Dit suggereert sterk dat de campagne werd aangestuurd door spionage, waarbij aanvallers zich concentreerden op het verzamelen van informatie over geselecteerde doelen.
Hoewel de specifieke ontwikkelaar van de Landfall-spyware onbekend blijft, heeft Unit 42 intrigerende links gevonden naar een bekende surveillanceleverancier genaamd Stealth Falcon. Stealth Falcon is eerder betrokken geweest bij spyware-aanvallen tegen journalisten, activisten en dissidenten uit de Emiraten die teruggaan tot 2012. De overlap in de digitale infrastructuur tussen Landfall en Stealth Falcon roept vermoedens op, hoewel een directe toeschrijving aan een bepaalde regering onbevestigd blijft.
Geografisch bereik en apparaattargeting
Analyse van spywaremonsters van Landfall die naar VirusTotal zijn geüpload, bracht activiteit aan het licht die afkomstig was uit Marokko, Iran, Irak en Turkije in de loop van 2024 en begin 2025. Met name het Turkse nationale cyberreadiness-team (USOM) markeerde een van de door Landfall gebruikte IP-adressen als kwaadaardig, wat de theorie verder ondersteunde dat individuen in Turkije het doelwit waren.
De code van de spyware verwijst specifiek naar vijf Galaxy-telefoonmodellen, waaronder de Galaxy S22, S23 en S24, evenals enkele apparaten uit de Z-serie. Onderzoekers denken dat de kwetsbaarheid zich mogelijk heeft uitgebreid naar andere Galaxy-apparaten met Android-versies 13 tot en met 15.
Mogelijkheden van Landfall-spyware
Net als andere spyware van overheidskwaliteit biedt Landfall uitgebreide mogelijkheden voor apparaatbewaking. Het heeft toegang tot een breed scala aan persoonlijke gegevens, waaronder foto’s, berichten, contacten en oproeplogboeken. Bovendien kan het de microfoon van het apparaat activeren voor audio-opname en de exacte locatie van de gebruiker volgen.
Deze nieuwste ontdekking onderstreept de voortdurende uitdagingen die gepaard gaan met geavanceerde spyware en de noodzaak van verhoogde waakzaamheid onder personen die het risico lopen op gerichte surveillance.
De opkomst van Landfall benadrukt de aanhoudende en evoluerende dreiging van gerichte spyware-aanvallen, vooral tegen individuen in regio’s die bekend staan om hun politiek en sociaal activisme. Hoewel Samsung de specifieke kwetsbaarheid heeft verholpen, herinnert het incident eraan hoe belangrijk het is om apparaten up-to-date te houden en voorzichtigheid te betrachten bij het openen van bijlagen of links van onbetrouwbare bronnen.
