Het meest onschuldige bestand op je telefoon – een digitale foto – bleek bijna een jaar lang een Trojaans paard te zijn. Een krachtige, commerciële bewakingstool genaamd LANDFALL maakte met succes misbruik van een geheime fout in Samsung Galaxy-telefoons, waardoor hackers volledige controle konden krijgen door simpelweg een kwaadaardig beeld te verzenden.
Samsung heeft in april 2025 de belangrijkste zero-day-kwetsbaarheid (CVE-2025-21042) in de beeldverwerkingsbibliotheek van de Galaxy gepatcht. Beveiligingsonderzoekers bevestigden echter dat de gerichte aanvallen al in juli 2024 in het wild actief waren. Het was een heel eenvoudige aanval om uit te voeren in verhouding tot de ernst ervan. De fout zat diep verborgen in de fotoverwerkingscomponent van de Galaxy, wachtend op een kwaadaardig DNG-afbeeldingsbestand om deze te activeren.
Een telefoonfout in de Samsung Galaxy S maakte volledige bewaking via LANDFALL-spyware mogelijk
Aanvallers zouden hun slachtoffers een beschadigd DNG-bestand hebben gestuurd, vaak vermomd met gewone namen als ‘WhatsApp Image…’. Dit bestand bevatte een ingesloten ZIP-archief. De exploitketen dwong de telefoon vervolgens om LANDFALL uit te pakken en uit te voeren, vaak zonder dat de gebruiker überhaupt met de afbeelding hoefde te communiceren. Ja, dit was een ‘zero-click’-aanval die de verdenking van gebruikers kon omzeilen.
Eenmaal geactiveerd transformeerde LANDFALL de beoogde Samsung-telefoon in een totale spionagemachine. Het was in staat gevoelige gegevens te verzamelen: de microfoon opnemen, de locatie volgen en foto’s, contacten, sms-berichten en oproeplogboeken stelen. De spyware was specifiek gericht op high-end vlaggenschepen, waaronder de Galaxy S22-, S23- en S24-serie. Ook verschillende Z Fold- en Z Flip-modellen werden getroffen. Onderzoekers volgden de aanvallen op individuen in het Midden-Oosten, met name Irak, Iran, Turkije en Marokko.
Het professionele niveau van LANDFALL suggereert ontwikkeling door een geavanceerde leverancier. Analyse van de infrastructuur van de spyware bracht intrigerende overlappingen aan het licht met een beruchte surveillancegroep die bekend staat als Stealth Falcon. Deze groep heeft in het verleden banden gehad met spionage op staatsniveau.
Het lijkt erop dat de aanvalsketen deel uitmaakte van een bredere trend. Een soortgelijke fout in het DNG-beeld maakte onlangs ook misbruik van iOS-apparaten.
