Badan Keamanan Siber dan Infrastruktur Amerika Serikat (CISA) memerintahkan semua lembaga federal untuk segera menambal celah keamanan serius di perangkat Samsung. Celah ini diketahui telah dieksploitasi dalam serangan zero-day untuk menyebarkan spyware bernama LandFall melalui aplikasi WhatsApp.
Celah Berbahaya di Sistem Samsung
Kerentanan dengan kode CVE-2025-21042 ini ditemukan pada pustaka libimagecodec.quram.so milik Samsung. Bug tersebut memungkinkan penyerang menjalankan kode berbahaya dari jarak jauh pada perangkat yang menggunakan Android 13 atau versi lebih baru.
Samsung sebenarnya sudah merilis tambalan keamanan sejak April setelah menerima laporan dari tim keamanan Meta dan WhatsApp. Namun, penelitian dari Unit 42 Palo Alto Networks mengungkap bahwa hacker telah memanfaatkan celah ini sejak Juli 2024 untuk mengirim gambar DNG berbahaya melalui WhatsApp yang dapat menginstal spyware LandFall.
Kemampuan Spyware LandFall
Spyware ini mampu mengakses riwayat penelusuran korban, merekam panggilan dan suara, melacak lokasi, serta mengambil foto, kontak, SMS, log panggilan, dan file pribadi lainnya. Unit 42 mencatat bahwa serangan ini menargetkan sejumlah perangkat unggulan Samsung seperti seri Galaxy S22, S23, S24, serta Z Fold 4 dan Z Flip 4.
Data dari VirusTotal menunjukkan bahwa target serangan berada di Irak, Iran, Turki, dan Maroko. Infrastruktur domain yang digunakan juga memiliki pola serupa dengan operasi Stealth Falcon yang sebelumnya dikaitkan dengan Uni Emirat Arab.
Menariknya, bagian pemuat malware bernama “Bridge Head” menggunakan pola penamaan yang mirip dengan spyware komersial buatan perusahaan seperti NSO Group, Variston, Cytrox, dan Quadream. Namun, belum ada bukti yang menghubungkan LandFall dengan vendor atau kelompok hacker tertentu.
Perintah Resmi dari CISA
CISA telah menambahkan CVE-2025-21042 ke dalam katalog Known Exploited Vulnerabilities, yaitu daftar kerentanan yang sedang aktif dieksploitasi. Lembaga federal non-militer seperti Departemen Energi, Departemen Keuangan, dan Departemen Kesehatan diwajibkan memperbaiki celah ini sebelum 1 Desember 2025 sesuai arahan Binding Operational Directive (BOD) 22-01.
Meskipun instruksi ini berlaku bagi lembaga federal, CISA juga mengimbau semua organisasi dan pengguna umum untuk segera memperbarui perangkat Samsung mereka. CISA memperingatkan bahwa jenis celah seperti ini sering digunakan oleh pelaku kejahatan siber dan dapat menimbulkan risiko besar jika tidak segera ditangani.
Pada September lalu, Samsung juga merilis pembaruan keamanan untuk menutup celah lain di pustaka yang sama (CVE-2025-21043) yang sempat dimanfaatkan dalam serangan serupa terhadap perangkat Android mereka.