Zero-day lek in Samsung Galaxy, telefoons maandenlang bespioneerd, ook in Marokko

Het ging hier om de geavanceerde spyware met de naam ‘Landfall’, die voor het eerst werd opgemerkt in juli 2024 door beveiligingsonderzoekers van de Unit 42 van Palo Alto Networks. De inbreuk steunde op een zogeheten ‘zero-day’-kwetsbaarheid, een fout die Samsung op dat moment nog niet kende. Een alarmerend detail is dat een infectie kon plaatsvinden zonder enige actie van het slachtoffer, simpelweg door het ontvangen van een geprepareerde afbeelding, waarschijnlijk via een app voor berichtenverkeer.

Lees ook: Gevaarlijke PlayPraetor-malware treft duizenden Marokkanen

Samsung heeft de kwetsbaarheid, die nu bekend is onder de code CVE-2025-21042, uiteindelijk in april 2025 hersteld. De volledige omvang van de spionagecampagne is echter tot nu toe niet openbaar gemaakt. De capaciteiten van de spyware waren zeer verreikend en omvatten complete monitoring van het toestel. Dit betekende onder meer toegang tot foto’s, berichten, contacten, het opnemen van de microfoon en het continu volgen van de locatie van de gebruiker.

De onderzoekers vermoeden dat dit een "precisie-aanval" was. Dit houdt in dat de operatie gericht was op specifieke individuen met vermoedelijk spionagedoeleinden, en niet op een massale aanval. Hoewel de daders formeel niet zijn geïdentificeerd, deelde ‘Landfall’ een digitale infrastructuur met Stealth Falcon. Deze leverancier van surveillancemiddelen is in het verleden berucht geworden vanwege het specifiek viseren van journalisten en activisten in de Verenigde Arabische Emiraten.

Lees ook: ToxicPanda-malware steelt bankgegevens in Marokko

Het codebron van de malware verwees specifiek naar recente modellen als de Galaxy S22, S23, S24 en bepaalde Z-modellen, maar het lek zou ook andere apparaten met Android 13 tot en met 15 kunnen treffen. Monsters van de spyware werden gedurende 2024 en begin 2025 geüpload naar de dienst VirusTotal vanuit onder meer Marokko, Iran, Irak en Turkije.