Aanvallers hebben een kritieke kwetsbaarheid gebruikt om Samsung Galaxy-telefoons op afstand met Android-spyware te infecteren. Misbruik vond geruime tijd plaats voordat een beveiligingsupdate beschikbaar was. Dat laat securitybedrijf Palo Alto Networks in een analyse weten. Voor het uitvoeren van de aanval verstuurden de aanvallers vermoedelijk speciaal geprepareerde afbeeldingen via WhatsApp.

De speciaal geprepareerde DNG-afbeelding maakte misbruik van een kwetsbaarheid aangeduid als CVE-2025-21042. Het gaat om een kritiek beveiligingslek in een library voor het verwerken van afbeeldingen, waardoor een remote aanvaller willekeurige code op de telefoon kan uitvoeren. Het probleem werd in september 2024 aan Samsung gerapporteerd, dat in april van dit jaar met beveiligingsupdates kwam. Volgens Palo Alto Networks is de kwetsbaarheid sinds halverwege 2024 misbruikt bij aanvallen.

Via het beveiligingslek installeerden aanvallers de Landfall-spyware. Deze spyware is speciaal ontwikkeld voor Samsung Galaxy-telefoons en gebruikt tegen doelwitten in het Midden-Oosten. Voornamelijk in Turkije, Marokko, Iran en Irak, aldus de onderzoekers. Eenmaal actief kan de spyware onder andere de microfoon inschakelen om zo het slachtoffer en diens omgeving af te luisteren, de locatie van het slachtoffer volgen en allerlei bestanden verzamelen, zoals foto's, contacten en gesprekslogs.

Palo Alto Networks ontdekte de spyware nadat Apple in augustus van dit jaar met een beveiligingsupdate voor een actief aangevallen kwetsbaarheid was gekomen, aangeduid als CVE-2025-43300, Ook deze kwetsbaarheid doet zich voor bij het verwerken van DNG-afbeeldingen. Dezelfde maand maakte WhatsApp melding van een aangevallen beveiligingslek, CVE-2025-55177, die was gecombineerd met CVE-2025-4330 voor het infecteren van iPhones met spyware.

Onderzoek naar de aanval leidde de onderzoekers naar DNG-bestaanden die in 2024 en begin dit jaar naar Googles online virusscanner VirusTotal waren geupload. Deze bestanden installeerden spyware op de telefoons van slachtoffers. Gebaseerd op de bestandsnaam denken de onderzoekers dat de afbeeldingen via WhatsApp naar slachtoffers zijn gestuurd. Afsluitend stelt Palo Alto Networks dat het niet kan bevestigen dat dezelfde exploit chain is gebruikt om een iOS-versie van de Landfall-spyware op iPhones te installeren, of dat dezelfde aanvaller achter beide aanvallen zit. Wel is er volgens de onderzoekers sprake van groter patroon waarbij DNG-gerelateerde kwetsbaarheden worden gebruikt voor geraffineerde spyware-aanvallen.