Sebuah spyware canggih bernama Landfall mengeksploitasi celah keamanan pada citra Samsung untuk memata-matai pengguna secara diam-diam. Serangan ini menargetkan ponsel Galaxy di Timur Tengah dan tidak terdeteksi selama berbulan-bulan, sehingga menimbulkan kekhawatiran keamanan yang serius.
 |
| Foto: GETTY IMAGES |
Pengguna Samsung Galaxy mungkin perlu berpikir dua kali sebelum membuka gambar yang tampak tidak berbahaya di WhatsApp. Sebuah operasi spyware yang baru terungkap, yang berjalan diam-diam selama hampir setahun, mengeksploitasi celah keamanan pada perangkat lunak Samsung untuk menyusup ke ponsel tanpa perlu disentuh oleh korban. Operasi yang diungkap oleh Unit 42 Palo Alto Networks ini menyembunyikan spyware kelas komersial bernama Landfall di dalam foto yang tampaknya tidak berbahaya dan menyebarkannya melalui aplikasi perpesanan.
Yang membuat kampanye ini sangat mengerikan adalah kesederhanaannya. Tidak ada tautan palsu yang perlu diklik, tidak ada aplikasi mencurigakan yang perlu dipasang, hanya gambar biasa yang dapat membahayakan seluruh perangkat. Peneliti keamanan mengatakan serangan tersebut mengandalkan bug zero-day yang memungkinkan peretas mengakses saat gambar tersebut masuk ke ponsel, mengubah tindakan sehari-hari menerima foto menjadi operasi mata-mata yang potensial.
Peretas menggunakan file gambar DNG
Pelakunya adalah kerentanan yang dilacak sebagai CVE-2025-21042, yang tersembunyi di pustaka pemrosesan gambar Samsung. Menurut Unit 42, penyerang mempersenjatai berkas gambar Digital Negative (DNG), menyamarkannya sebagai JPEG biasa, dan menyelundupkannya melalui aplikasi perpesanan seperti WhatsApp. Setelah diterima, gambar-gambar ini dapat secara diam-diam membahayakan ponsel, sebuah serangan "tanpa klik" yang lazim.
Begitu masuk, Landfall bertindak sebagai mata-mata sejati. Ia dapat menyadap panggilan telepon, mencuri foto dan pesan, mengorek kontak, merekam percakapan, dan bahkan melacak lokasi pengguna. Targetnya, yang sebagian besar adalah pengguna Galaxy S22, S23, S24, Z Fold 4, dan Z Flip 4, tersebar di berbagai wilayah Timur Tengah, termasuk Turki, Iran, Irak, dan Maroko.
Para peneliti mengatakan spyware tersebut pertama kali terdeteksi pada pertengahan 2024 dan tidak terdeteksi selama berbulan-bulan. Samsung dilaporkan telah diberitahu tentang masalah ini pada September 2024, tetapi baru merilis patch pada April 2025, yang membuat perangkat tetap terekspos selama hampir setengah tahun. Meskipun celah keamanannya telah diperbaiki, insiden ini menyoroti bagaimana ponsel kelas atas pun tidak kebal terhadap pengawasan diam-diam.
Hubungan dengan kampanye mata-mata masa lalu
Unit 42 menemukan kampanye tersebut saat menelusuri VirusTotal milik Google, sebuah basis data malware publik tempat berkas-berkas mencurigakan diunggah. Di sana, mereka menemukan beberapa berkas DNG terinfeksi yang diunggah dari Timur Tengah antara tahun 2024 dan awal 2025.
Menariknya, sidik jari digital Landfall menunjukkan kemiripan dengan hasil kerja kelompok pengintai ternama yang dijuluki Stealth Falcon—tim yang sebelumnya terkait dengan serangan spyware terhadap jurnalis dan pembangkang di UEA. Namun, para peneliti belum menentukan siapa yang bertanggung jawab, dengan alasan belum ada cukup bukti untuk mengonfirmasi siapa pembuat atau penyebar malware tersebut.
"Itu adalah serangan presisi, bukan kampanye massal," kata Itay Cohen, peneliti utama di Unit 42. "Hal itu sangat menunjukkan motif spionase, bukan keuntungan finansial."
Badan siber nasional Turki bahkan menandai salah satu server komando dan kendali spyware tersebut sebagai berbahaya, mengisyaratkan bahwa pengguna Turki mungkin termasuk di antara para korban.
Untuk saat ini, pengguna Samsung yang selalu memperbarui ponsel mereka tetap aman. Namun, episode Landfall menjadi pengingat lain bahwa spyware berkembang pesat, dan terkadang, Anda bahkan tidak perlu mengetuk "unduh" untuk masuk.
