Hackers kregen toegang tot Samsung Galaxy devices via zero-day-kwetsbaarheid

De hackers maakten gebruik van LANDFALL, een nieuwe spyware die werd verspreid via een kwaadaardig DNG-afbeeldingsbestand dat vermoedelijk via WhatsApp werd verstuurd. Deze aanvalsmethode past binnen een groeiende trend waarbij de beeldverwerkingssoftware van smartphones wordt aangevallen - een aanpak die doet denken aan een recente case waarbij een aanvalsketen zich richtte op Apple-apparaten.

De kwetsbaarheid, door de onderzoekers aangeduid als CVE-2025-21042, werd vanaf midden 2024 actief misbruikt. Dit is al maanden voordat Samsung het probleem in april 2025 heeft verholpen. Het onderzoek biedt een uniek inkijkje in een geavanceerde, moeilijk te detecteren operatie, uitgevoerd door een commerciële spywaregroep (Private Sector Offensive Actor) die zich richt op doelwitten in het Midden-Oosten.

Dit zijn de belangrijkste bevindingen uit het onderzoek:

• Nieuwe commerciële spyware: identificatie van LANDFALL, een geavanceerde spyware gericht op specifieke Samsung Galaxy-modellen (waaronder S22, S23, S24 en Fold/Flip).
• Zero-day-exploit: misbruik van CVE-2025-21042, een kwetsbaarheid in Samsung’s beeldverwerkingssoftware die vóór de patch werd uitgebuit.
• Verspreiding via WhatsApp: de spyware zat verstopt in een gemanipuleerd DNG-fotobestand, vermoedelijk zonder dat de gebruiker iets hoefde te doen (zero-click).
• Uitgebreide spionage: LANDFALL stelde aanvallers in staat om microfoonopnamen te maken, locaties te volgen en toegang te krijgen tot foto’s, contacten en belgegevens.
• Gerichte aanvallen: de campagne richtte zich op doelwitten in Irak, Iran, Turkije en Marokko, en vertoont sterke overeenkomsten met andere commerciële spyware-operaties.

Lees het volledige onderzoek hier.