Een inmiddels gepatcht beveiligingslek in Samsung Galaxy Android-apparaten werd als zero-day misbruikt om een ‘commerciële’ Android-spyware af te leveren, genaamd LANDVAL bij gerichte aanvallen in het Midden-Oosten.
De activiteit omvatte de exploitatie van CVE-2025-21042 (CVSS-score: 8,8), een schrijffout buiten het bereik in de component “libimagecodec.quram.so” waardoor aanvallers op afstand willekeurige code kunnen uitvoeren, aldus Palo Alto Networks Unit 42. Het probleem werd in april 2025 door Samsung verholpen.
“Deze kwetsbaarheid werd actief misbruikt voordat Samsung deze in april 2025 patchte, na meldingen van aanvallen in het wild”, aldus Unit 42. Potentiële doelwitten van de activiteit, gevolgd als CL-UNK-1054, bevinden zich in Irak, Iran, Turkije en Marokko op basis van de inzendingsgegevens van VirusTotal.
De ontwikkeling komt op het moment dat Samsung in september 2025 bekendmaakte dat een andere fout in dezelfde bibliotheek (CVE-2025-21043, CVSS-score: 8,8) ook in het wild als zero-day was uitgebuit. Er is geen bewijs dat dit beveiligingslek wordt bewapend in de LANDFALL-campagne.
Er wordt aangenomen dat bij de aanvallen kwaadaardige afbeeldingen werden verzonden via WhatsApp in de vorm van DNG-bestanden (Digital Negative), met bewijs van LANDFALL-monsters die teruggaan tot 23 juli 2024. Dit is gebaseerd op DNG-artefacten met namen als “WhatsApp Image 2025-02-10 om 16.54.17 PM.jpeg” en “IMG-20240723-WA0000.jpg.”
LANDFALL fungeert, eenmaal geïnstalleerd en uitgevoerd, als een uitgebreide spionagetool die gevoelige gegevens kan verzamelen, waaronder microfoonopnamen, locatie, foto’s, contacten, sms, bestanden en oproeplogboeken. Er wordt gezegd dat de exploitketen waarschijnlijk het gebruik van een zero-click-aanpak omvatte om de exploitatie van CVE-2025-21042 te activeren zonder dat enige gebruikersinteractie nodig was.
Het is vermeldenswaard dat WhatsApp rond dezelfde tijd onthulde dat een fout in zijn berichtenapp voor iOS en macOS (CVE-2025-55177, CVSS-score: 5,4) gekoppeld was aan CVE-2025-43300 (CVSS-score: 8,8), een fout in Apple iOS, iPadOS en macOS, om mogelijk minder dan 200 gebruikers te targeten als onderdeel van een geavanceerde campagne. Apple en WhatsApp hebben de gebreken inmiddels verholpen.
Uit de analyse van Unit 42 van de ontdekte DNG-bestanden blijkt dat ze worden geleverd met een ingesloten ZIP-bestand aan het einde van het bestand, waarbij de exploit wordt gebruikt om een gedeelde objectbibliotheek uit het archief te extraheren om de spyware uit te voeren. Ook aanwezig in het archief is een ander gedeeld object dat is ontworpen om het SELinux-beleid van het apparaat te manipuleren om LANDFALL verhoogde rechten te verlenen en persistentie te vergemakkelijken.
Het gedeelde object dat LANDFALL laadt, communiceert ook met een command-and-control (C2)-server via HTTPS om een beaconing-lus binnen te gaan en niet-gespecificeerde volgende fase-payloads te ontvangen voor daaropvolgende uitvoering.
Het is momenteel niet bekend wie er achter de spyware of de campagne zit. Dat gezegd hebbende, zei Unit 42 dat de C2-infrastructuur en domeinregistratiepatronen van LANDFALL aansluiten bij die van Stealth Falcon (ook bekend als FruityArmor), hoewel er vanaf oktober 2025 geen directe overlappingen tussen de twee clusters zijn gedetecteerd.
“Vanaf de eerste verschijning van monsters in juli 2024 benadrukt deze activiteit hoe geavanceerde exploits gedurende een langere periode in openbare opslagplaatsen kunnen blijven voordat ze volledig worden begrepen”, aldus Unit 42.
