Samsung Galaxy-telefoons via kritiek lek geïnfecteerd met Android-spyware

In dit artikel:

Beveiligingsbedrijf Palo Alto Networks ontdekte dat aanvallers een kritieke kwetsbaarheid (CVE-2025-21042) in een afbeeldingsverwerkingsbibliotheek misbruikten om Samsung Galaxy-toestellen op afstand te infecteren met de Landfall-spyware. De infecties gebeurden vermoedelijk door speciaal geprepareerde DNG-afbeeldingen die via WhatsApp naar slachtoffers werden gestuurd; misbruik vond al sinds halverwege 2024 plaats, terwijl Samsung pas in april dit jaar patches uitbracht na een melding in september 2024.

Landfall is volgens de onderzoekers specifiek gericht op Samsung Galaxy-telefoons en werd ingezet tegen doelen in het Midden-Oosten, met name in Turkije, Marokko, Iran en Irak. Eenmaal actief kan de spyware onder meer de microfoon inschakelen, locatiegegevens volgen en allerlei bestanden, foto’s, contacten en gesprekslogs exfiltreren.

Palo Alto kwam het spoor op het spoor nadat Apple in augustus een actieve aanval op een vergelijkbare DNG-gerelateerde kwetsbaarheid (CVE-2025-43300) patchte; WhatsApp meldde toen ook een gecombineerd lek (CVE-2025-55177) dat iPhones kon raken. Onderzoekers vonden de kwaadaardige DNG-bestanden in uploads naar VirusTotal uit 2024 en begin dit jaar. Het team zegt niet te kunnen bevestigen dat dezelfde exploitketen of dader ook op iOS werd gebruikt, maar signaleert een breder patroon van geavanceerde spyware-aanvallen die misbruikmaken van DNG-gerelateerde lekken.