Sebuah kampanye spionase digital berskala tinggi terungkap setelah peneliti keamanan menemukan spyware baru bernama LandFall yang menyalahgunakan celah zero-day pada perangkat Samsung Galaxy melalui gambar berbahaya yang dikirim via WhatsApp.
Menurut laporan dari Unit 42 – Palo Alto Networks, serangan ini memanfaatkan kerentanan CVE-2025-21042, sebuah out-of-bounds write vulnerability dengan tingkat keparahan critical yang ditemukan pada library pemrosesan gambar Samsung, libimagecodec.quram.so. Celah tersebut telah diperbaiki pada April 2025, namun bukti menunjukkan bahwa operasi LandFall telah aktif sejak Juli 2024, menargetkan pengguna Galaxy di Timur Tengah.
🔹 Eksploitasi Melalui Gambar WhatsApp
Metode serangan LandFall dimulai dengan pengiriman file gambar berformat .DNG (RAW) yang telah disisipi arsip ZIP berbahaya di bagian akhir file.
File tersebut, saat diproses oleh sistem gambar Samsung, memicu kerentanan pada library libimagecodec.quram.so dan memungkinkan penyerang menjalankan kode berbahaya dari jarak jauh tanpa interaksi tambahan dari pengguna.
Peneliti menemukan sampel file ini pertama kali diunggah ke VirusTotal pada 23 Juli 2024, dengan indikasi kuat bahwa file dikirim melalui WhatsApp berdasarkan nama dan metadata file.
Dari hasil analisis forensik, gambar berbahaya tersebut mengandung dua komponen utama:
- b.so → Loader yang mengambil dan mengeksekusi modul tambahan,
- l.so → SELinux manipulator yang menyesuaikan kebijakan keamanan Android untuk meningkatkan hak akses dan mempertahankan persistensi sistem.
🔹 Kemampuan dan Tujuan Spyware LandFall
Setelah berhasil diinstal, LandFall akan melakukan fingerprinting perangkat korban untuk mengumpulkan informasi unik seperti:
- ID perangkat (IMEI), ID SIM (IMSI), nomor kartu SIM,
- akun pengguna, daftar aplikasi, lokasi, hingga perangkat Bluetooth.
Selain itu, spyware ini memiliki kemampuan pengawasan penuh, termasuk:
- Rekaman mikrofon dan panggilan telepon,
- Pelacakan lokasi real-time,
- Akses ke foto, kontak, SMS, log panggilan, dan file pribadi,
- Pengambilan riwayat peramban (browser history),
- Menjalankan modul tambahan secara diam-diam untuk memperluas fungsi spionase.
Unit 42 melaporkan bahwa target utama LandFall mencakup Samsung Galaxy S22, S23, S24, Z Fold 4, dan Z Flip 4, sementara seri Galaxy S25 tidak ditemukan sebagai sasaran aktif — kemungkinan karena patch keamanan terbaru telah menutup celah ini sebelum peluncurannya.
🔹 Afiliasi dan Dugaan Asal Serangan
Analisis infrastruktur menunjukkan enam server Command-and-Control (C2) yang digunakan oleh operasi LandFall, sebagian telah dilaporkan oleh CERT Turki sebagai domain berbahaya.
Pola pendaftaran domain dan arsitektur server menunjukkan kemiripan dengan operasi Stealth Falcon, kelompok spionase siber yang diduga berasal dari Uni Emirat Arab (UAE).
Selain itu, penggunaan istilah “Bridge Head” untuk modul loader mengingatkan pada konvensi penamaan yang sering digunakan oleh vendor spyware komersial besar seperti NSO Group, Variston, Cytrox, dan Quadream.
Namun, Unit 42 belum dapat mengaitkan LandFall secara pasti dengan grup atau penyedia spyware tertentu.
🔹 Serangan Lanjutan dan Eksploitasi Format DNG
Kasus LandFall bukanlah satu-satunya eksploitasi yang melibatkan format gambar DNG (Digital Negative). Dalam setahun terakhir, format ini juga menjadi target pada:
- Apple iOS (CVE-2025-43300),
- WhatsApp (CVE-2025-55177).
Menariknya, Samsung baru-baru ini menambal celah lain, CVE-2025-21043, yang juga mempengaruhi library libimagecodec.quram.so, setelah tim keamanan WhatsApp melaporkannya secara terpisah.
Hal ini menandakan rangkaian kerentanan sistemik dalam cara perangkat Android memproses format gambar DNG, yang kini menjadi vektor serangan populer bagi spyware komersial.
🔹 Negara Sasaran dan Distribusi
Data dari VirusTotal menunjukkan aktivitas LandFall paling banyak menargetkan pengguna di Irak, Iran, Turki, dan Maroko. Serangan ini tampak terfokus pada perangkat flagship Samsung yang digunakan oleh individu dengan profil tinggi, seperti jurnalis, diplomat, dan aktivis.
🔹 Rekomendasi Keamanan
Untuk melindungi diri dari serangan serupa, para peneliti Unit 42 menyarankan:
- Segera instal pembaruan keamanan sistem dan aplikasi, terutama untuk perangkat Samsung.
- Nonaktifkan fitur unduhan media otomatis di WhatsApp dan aplikasi pesan lain.
- Gunakan fitur Advanced Protection di Android atau Lockdown Mode di iOS untuk mengurangi permukaan serangan.
- Hindari membuka file gambar dari sumber tidak dikenal, meskipun dikirim melalui platform terpercaya.
Serangan LandFall menunjukkan bagaimana celah kecil dalam pemrosesan media dapat dimanfaatkan menjadi mekanisme serangan siber tingkat tinggi.
Dengan penyamaran melalui gambar DNG yang tampak sah, operasi ini memperlihatkan evolusi baru spyware komersial yang kini menargetkan perangkat konsumen premium dengan tingkat presisi yang mengkhawatirkan.
Sumber: Unit 42 – Palo Alto Networks, VirusTotal, CERT Turki