Samsung Galaxy-telefoons via kritiek lek geïnfecteerd met Android-spyware
Aanvallers hebben een kritieke kwetsbaarheid gebruikt om Samsung Galaxy-telefoons op afstand met Android-spyware te infecteren. Misbruik vond geruime tijd plaats voordat een beveiligingsupdate beschikbaar was. Dat laat securitybedrijf Palo Alto Networks in een analyse weten. Voor het uitvoeren van de aanval verstuurden de aanvallers vermoedelijk speciaal geprepareerde afbeeldingen via WhatsApp.
De speciaal geprepareerde DNG-afbeelding maakte misbruik van een kwetsbaarheid aangeduid als CVE-2025-21042. Het gaat om een kritiek beveiligingslek in een library voor het verwerken van afbeeldingen, waardoor een remote aanvaller willekeurige code op de telefoon kan uitvoeren. Het probleem werd in september 2024 aan Samsung gerapporteerd, dat in april van dit jaar met beveiligingsupdates kwam. Volgens Palo Alto Networks is de kwetsbaarheid sinds halverwege 2024 misbruikt bij aanvallen.
Via het beveiligingslek installeerden aanvallers de Landfall-spyware. Deze spyware is speciaal ontwikkeld voor Samsung Galaxy-telefoons en gebruikt tegen doelwitten in het Midden-Oosten. Voornamelijk in Turkije, Marokko, Iran en Irak, aldus de onderzoekers. Eenmaal actief kan de spyware onder andere de microfoon inschakelen om zo het slachtoffer en diens omgeving af te luisteren, de locatie van het slachtoffer volgen en allerlei bestanden verzamelen, zoals foto's, contacten en gesprekslogs.
Palo Alto Networks ontdekte de spyware nadat Apple in augustus van dit jaar met een beveiligingsupdate voor een actief aangevallen kwetsbaarheid was gekomen, aangeduid als CVE-2025-43300, Ook deze kwetsbaarheid doet zich voor bij het verwerken van DNG-afbeeldingen. Dezelfde maand maakte WhatsApp melding van een aangevallen beveiligingslek, CVE-2025-55177, die was gecombineerd met CVE-2025-4330 voor het infecteren van iPhones met spyware.
Onderzoek naar de aanval leidde de onderzoekers naar DNG-bestaanden die in 2024 en begin dit jaar naar Googles online virusscanner VirusTotal waren geupload. Deze bestanden installeerden spyware op de telefoons van slachtoffers. Gebaseerd op de bestandsnaam denken de onderzoekers dat de afbeeldingen via WhatsApp naar slachtoffers zijn gestuurd. Afsluitend stelt Palo Alto Networks dat het niet kan bevestigen dat dezelfde exploit chain is gebruikt om een iOS-versie van de Landfall-spyware op iPhones te installeren, of dat dezelfde aanvaller achter beide aanvallen zit. Wel is er volgens de onderzoekers sprake van groter patroon waarbij DNG-gerelateerde kwetsbaarheden worden gebruikt voor geraffineerde spyware-aanvallen.
Wel als dit door de fabrikant zo gebouwd is in opdracht van cia en nsa.
Het team van Kees van der Spek stuurt volgens mij ook soortgelijke afbeeldingen naar potentiële oplichters en zodra die bekeken wordt kunnen ze ook zijn/haar front cam en microfoon aanzetten en locatie laten versturen...
Het team van Kees van der Spek stuurt volgens mij ook soortgelijke afbeeldingen naar potentiële oplichters en zodra die bekeken wordt kunnen ze ook zijn/haar front cam en microfoon aanzetten en locatie laten versturen...
Ja daar dacht ik ook gelijk aan.
Maar wat vreemd dat Play Protect het niet detecteerd.
[quore]artikel: "Onderzoek naar de aanval leidde de onderzoekers naar DNG-bestaanden die in 2024 en begin dit jaar naar Googles online virusscanner VirusTotal waren geupload. Deze bestanden installeerden spyware op de telefoons van slachtoffers. Gebaseerd op de bestandsnaam denken de onderzoekers dat de afbeeldingen via WhatsApp naar slachtoffers zijn gestuurd." [/quote]
Het team van Kees van der Spek stuurt volgens mij ook soortgelijke afbeeldingen naar potentiële oplichters en zodra die bekeken wordt kunnen ze ook zijn/haar front cam en microfoon aanzetten en locatie laten versturen...
Ja daar dacht ik ook gelijk aan.
Maar wat vreemd dat Play Protect het niet detecteerd.
2) De malware zit in een afbeelding die via een e2e chatapplicatie verspreid wordt.
In beiden speelt Play Protect gelukkig geen rol.
Ja daar dacht ik ook gelijk aan.
Maar wat vreemd dat Play Protect het niet detecteerd.
Play protect is er voornamelijk om Google te beschermen tegen adblockers en apps die betalen in apps weten te foppen zoals Lucky Patcher. Het bemoeit zich al helemaal niet met de data die al geinstalleerde apps binnenkrijgen, zeker niet als die versleuteld is en alleen de app zelf die kan ontcijferen, zoals (hopenlijk) bij Whatsapp.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?