Unit 42 heeft voorbeelden gevonden van een nog onbekend type spyware en heeft dit de naam LANDFALL gegeven. Deze voorbeelden zaten verborgen in onjuist opgebouwde DNG-afbeeldingsbestanden (Digital Negative) waaraan een ZIP-archief was toegevoegd. De payload (de spyware) werd uitgepakt en uitgevoerd wanneer een kwetsbare Samsung-afbeeldingsbibliotheek de afbeelding parseerde.  

Op basis van de metadata en IP-adressen lijkt de campagne geen brede massale malware te zijn, maar gericht. De slachtoffers lijken geconcentreerd te zijn in delen van het Midden-Oosten (Marokko, Iran, Irak, Turkije, enz.).  

 De kwetsbaarheid (de technische kern)  

Problemen met schrijven buiten het toegestane bereik in de Samsung-beeldverwerkingsbibliotheek libimagecodec.quram.so leiden tot de uitvoering van willekeurige code op afstand. Deze fout kreeg een hoge ernstscore en kreeg CVE-2025-21042 (CVSS 8.8) toegewezen. Deze kwetsbaarheid betekent dat een verkeerd gevormde afbeelding kan worden gebruikt om een apparaat willekeurige code te laten uitvoeren.  

Er was een ZIP-archief ingebed in de DNG-afbeelding, en toen de kwetsbare parser de afbeelding verkeerd verwerkte, haalde deze code uit de gedeelde bibliotheekbestanden (.so) in het archief en voerde deze uit. Zo werd LANDFALL vrijgegeven en uitgevoerd.  

 Leveringsmethode — waarom dit gevaarlijk was  

Kwaadaardige DNG-bestanden werden waarschijnlijk verzonden via WhatsApp (Unit 42 wees erop dat het aanvalspatroon overeenkwam met eerdere zero-click-afbeeldingsexploits). De kwetsbaarheid in de afbeeldingsparser betekende dat de exploit zero-click was (het slachtoffer hoefde geen interactie met de afbeelding te hebben) als de messenger of telefoon de afbeelding automatisch parseerde of een miniatuur ervan genereerde.

Dat maakt het onopvallend en krachtig.  

 Wat LANDFALL kan doen (mogelijkheden)  

Unit 42 en andere rapporten tonen aan dat LANDFALL uitgebreide surveillancemogelijkheden bood, vergelijkbaar met commerciële spyware:  

Toegang tot foto's, bestanden, contacten en belgeschiedenis.  

Audio opnemen via de microfoon.  

De precieze locatie (GPS) doorgeven.  

Gegevens terugsturen naar command-and-control-servers die de aanvaller beheert.

De hier beschreven surveillancesystemen zijn indicatief voor de zogenaamde "commerciële" mogelijkheden van LANDFALL.  

Getroffen apparaten  

Uit de telemetriegegevens van Unit 42 blijkt dat meerdere modellen van Samsung Galaxy-telefoons zijn getroffen. De rapporten wezen specifiek op de Galaxy S22-, S23- en S24-serie, evenals de Z Fold 4 en Z Flip 4 als enkele van de Fold- en Flip-modellen. De beveiligingskwetsbaarheid had betrekking op meerdere versies van de beeldverwerkingsbibliotheek van Samsung en bleef bestaan totdat Samsung een patch uitbracht.  

 Tijdlijn van activiteiten en het dichten van de gaten  

In het rapport van Unit 42 staat dat de analyse van de LANDFALL-activiteit halverwege 2024 begon, waarbij monsters in 2024 en begin 2025 werden verzameld en geüpload naar VirusTotal.  

In 2025 bracht Samsung een patch uit voor CVE-2025-21042. Zoals opgemerkt door Unit 42, werd de kwetsbaarheid inderdaad door Samsung gepatcht in april 2025. CVE-2025-21043, een andere gerelateerde kwetsbaarheid in dezelfde bibliotheek, werd daarna gepatcht. Apparaten die na deze patches zijn bijgewerkt, zouden niet kwetsbaar moeten zijn voor deze specifieke exploit.  

 Toeschrijving  

De aanduiding van LANDFALL als "commercial-grade" door Unit 42 impliceert dat het waarschijnlijk malware is die is geproduceerd en/of verkocht door een leverancier van bewakingsapparatuur, en niet door een cybercrimineel op laag niveau. Toch is er geen openbare toeschrijving of benoeming van het bedrijf of de staat die bij de aanvallen betrokken is. Het is gebruikelijk dat onderzoekers terughoudend zijn met toeschrijvingen, tenzij ze over solide bewijs beschikken.

 Mogelijke Indicators of Compromise (IoC's) en relevant bewijs

Bij forensisch onderzoek van apparaten kunt u misvormde DNG-afbeeldingsbestanden tegenkomen waaraan ZIP-secties zijn toegevoegd. 

Er kunnen ook uitgaande links zijn naar verdachte IP-adressen of domeinen voor command-and-control, zoals beschreven in de bijlage van Unit 42. 

Er kunnen ook onverwachte records van microfoongebruik zijn, nieuwe binaire bestanden of gedeelde bibliotheken in de opslag van apps, en afwijkingen binnen apps met betrekking tot ongewoon batterij- of datagebruik. 

Raadpleeg de technische bijlage van Unit 42 voor de exacte IP-adressen, hashes en bestandsnamen. YARA-regels in het rapport bieden deze informatie ook. 

 Afschrikking en detectie (praktische stappen) 

Om risico's te beperken, moet iedereen enkele stappen ondernemen (telefoons/gewone gebruikers): 

Werk uw telefoon bij. Installeer de beveiligingsupdates van Samsung/Android, die de door LANDFALL misbruikte bug verhelpen (vanaf april 2025). Door deze update uit te voeren, verwijdert u de specifieke kwetsbaarheid. 

Open geen afbeeldingen van onbekende afzenders. Zelfs als dit een zero-click zou zijn, sla dan geen onbetrouwbare afbeeldingen op en bekijk ze niet, en verwijder alle verdachte bestanden. 

Gebruik officiële app-winkels en zorg ervoor dat apps (inclusief berichtenapps) regelmatig worden bijgewerkt.

Als u denkt dat uw apparaat is gecompromitteerd (ongebruikelijk gedrag, batterijen die snel leeglopen of onverklaarbare extra datakosten), voer dan een fabrieksreset uit nadat u een back-up hebt gemaakt van uw belangrijkste bestanden, en wijzig alle belangrijke wachtwoorden op een ander apparaat. Als u denkt dat u een doelwit met een hoog risico bent, moet u professionele hulp inroepen.  

Voor organisaties / beveiligingsteams:  

Evalueer en pas zo snel mogelijk de beveiligingspatches van Samsung toe en controleer de patchstatus op alle beheerde apparaten.  

Implementeer detectie van bedreigingen voor mobiele apparaten/EDR en zoek naar de bestandsartefacten en gedragsafwijkingen die in het Unit 42-rapport zijn vastgelegd.  

Controleer de telemetrie op de IoC-domeinen/IP's en pas de juiste blokkering toe.  

Als u verdachte activiteiten waarneemt, deel dan de IOC's met uw incidentresponsteams en nationale CSIRT's.  

Hoe ernstig is dit? (risicobeoordeling)  

Technisch gezien is het ernstig: de combinatie van een zero-day, zero-click en volledige surveillance heeft een grote impact op de beoogde personen.  

Praktisch gezien beperkt: dit komt doordat het werd gebruikt in gerichte campagnes en niet in een wijdverspreide massale spionage-uitbraak. Aangezien er in april 2025 patches voor deze kwetsbaarheid zijn uitgebracht, is het directe risico voor gebruikers met bijgewerkte apparaten laag. Apparaten die niet zijn gepatcht of ouder zijn, blijven echter risico lopen.