Hoe Landfall-malware van geïnfecteerde apparaten te verwijderen

Wat voor soort malware is Landfall?

Landfall is Android-spyware die gericht is op Samsung Galaxy-apparaten (voornamelijk in het Midden-Oosten). Het kan audio opnemen, locaties volgen en toegang krijgen tot foto's, contacten en oproeplogboeken. De malware verspreidt zich via kwaadaardige DNG-afbeeldingsbestanden door misbruik te maken van een kwetsbaarheid in de afbeeldingsverwerkingsbibliotheek van Samsung.

Landfall-spyware in detail

Landfall verspreidt zich via afbeeldingsbestanden die een apparaat kunnen infecteren zonder dat de gebruiker ergens op hoeft te klikken. De spyware bestaat uit twee hoofdcomponenten: de ene fungeert als achterdeur/loader en de andere wijzigt de beveiligingsinstellingen zodat de spyware verborgen blijft en kan blijven draaien. Zodra de kwetsbaarheid is misbruikt, worden de payloads gedropt en uitgevoerd om het apparaat te monitoren en gegevens te exfiltreren.

De loadercomponent van Landfall kan extra modules uitvoeren om informatie te stelen. Het kan gegevens verzamelen, zoals de OS-versie, hardware-ID (IMEI), SIM/IMSI, SIM-serienummer, gebruikersaccounts, voicemailnummer, netwerkinstellingen, VPN- en Bluetooth-status, geïnstalleerde apps, locatie en USB-foutopsporingsstatus.

Bovendien kan het audio opnemen met een microfoon, gesprekken opnemen, de gespreksgeschiedenis, contacten, sms-berichten (en berichtgegevens), foto's die zijn genomen met de camera van het geïnfecteerde apparaat, de browsegeschiedenis (en andere databases) en willekeurige bestanden vastleggen.

Bovendien kan de loader native bibliotheken laden, Android-app-code rechtstreeks vanuit het geheugen of vanuit de opslag uitvoeren, code in andere apps injecteren zodat de malware daarin wordt uitgevoerd, het gedrag van programma's onderscheppen of wijzigen, systeemopdrachten uitvoeren, beveiligingen verzwakken en hogere privileges verkrijgen.

Bovendien kan het de WhatsApp-mediabestandsklasse controleren en extra payloads laden, zich registreren als een WhatsApp-webclient om te communiceren met app-gegevens, en bestanden in app-mappen en elders op het apparaat lezen, wijzigen of verwijderen. Ten slotte kan de malware analyse en uitvoering ontwijken als deze wordt gedetecteerd, verborgen blijven voor wijzigingen, zijn componenten verbergen, C2-communicatie moeilijker te onderscheppen maken en zijn sporen uitwissen.

Het is bekend dat de beoogde Samsung-modellen de Galaxy S22, S23, S24, Galaxy Z Fold4 en Galaxy Z Flip4 zijn. De spyware maakt in het geheim verbinding met zijn commandoserver om informatie over het geïnfecteerde apparaat te verzenden. Het maakt gebruik van een speciale netwerkpoort en versleuteld HTTPS-verkeer om zijn communicatie te verbergen. Het eerste bericht bevat details zoals het apparaat-ID, gebruikersinformatie en waar de spyware zich bevindt.

Conclusie

Landfall is krachtige spyware die Samsung-apparaten kan infecteren via speciaal vervaardigde afbeeldingsbestanden, mogelijk zonder enige interactie van de gebruiker. Eenmaal geïnfiltreerd, implementeert het componenten die surveillance, gegevensdiefstal en manipulatie van de apparaatbeveiliging mogelijk maken om verborgen te blijven. Het communiceert veilig met een externe server, waardoor aanvallers de malware kunnen controleren en gestolen informatie kunnen verzamelen.

Andere voorbeelden van Android-malware zijn Fantasy Hub, BankBot en GhostGrab.

Hoe is Landfall op mijn apparaat terechtgekomen?

Cybercriminelen verbergen Landfall in speciaal vervaardigde DNG-afbeeldingsbestanden die misbruik maken van een zero-day in de afbeeldingenbibliotheek van Samsung. De kwaadaardige afbeeldingen bevatten een gecomprimeerde payload die door de exploit wordt uitgepakt en op het apparaat wordt uitgevoerd. Aangenomen wordt dat de afbeeldingen via WhatsApp worden verzonden en dat de exploitketen zonder tussenkomst van de gebruiker kan werken, zonder dat er enige invoer van de gebruiker nodig is.

Het is vermeldenswaard dat Landfall werd ontdekt tijdens onderzoek naar een zero-day iOS-exploit waarbij ook kwaadaardige DNG-afbeeldingen betrokken waren.

Hoe voorkom je de installatie van malware?

Gebruik officiële winkels, zoals Google Play of officiële websites, wanneer u apps downloadt. Houd uw besturingssysteem en apps up-to-date en gebruik regelmatig betrouwbare beveiligingstools om uw apparaat te scannen op mogelijke bedreigingen. Open ook geen bestanden en klik niet op links in onbekende of onverwachte e-mails, berichten of sms'jes.

Vertrouw bovendien geen advertenties, links en andere inhoud op onbetrouwbare websites.

Snelmenu:

• Inleiding
• Hoe verwijder ik de browsegeschiedenis uit de Chrome-webbrowser?
• Hoe schakel je browsermeldingen uit in de Chrome-webbrowser?
• Hoe reset ik de Chrome-webbrowser?
• Hoe verwijder je de browsegeschiedenis uit de Firefox-webbrowser?
• Hoe schakel je browsermeldingen uit in de Firefox-webbrowser?
• Hoe reset ik de Firefox-webbrowser?
• Hoe verwijder je mogelijk ongewenste en/of schadelijke applicaties?
• Hoe start ik het Android-apparaat op in de "veilige modus"?
• Hoe kan ik het batterijverbruik van verschillende applicaties controleren?
• Hoe kan ik het dataverbruik van verschillende applicaties controleren?
• Hoe installeer ik de nieuwste software-updates?
• Hoe kan ik het systeem terugzetten naar de standaardinstellingen?
• Hoe schakel ik applicaties met beheerdersrechten uit?

Verwijder de browsegeschiedenis uit de Chrome-webbrowser:

Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.

Tik op "Browsegegevens wissen", selecteer het tabblad "GEAVANCEERD", kies het tijdsbereik en de gegevenstypen die u wilt verwijderen en tik op "Gegevens wissen".

[Terug naar de inhoudsopgave]

Schakel browsermeldingen uit in de Chrome-webbrowser:

Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Instellingen" in het geopende vervolgkeuzemenu.

Scroll naar beneden totdat je de optie "Site-instellingen" ziet en tik erop. Scroll naar beneden totdat je de optie "Meldingen" ziet en tik erop.

Zoek de websites die browsermeldingen versturen, tik erop en klik op "Wissen en opnieuw instellen". Hierdoor worden de machtigingen die aan deze websites zijn verleend om meldingen te versturen, verwijderd. Wanneer u dezelfde site echter opnieuw bezoekt, kan deze opnieuw om toestemming vragen. U kunt kiezen of u deze toestemmingen wilt verlenen of niet (als u ervoor kiest om te weigeren, gaat de website naar het gedeelte "Geblokkeerd" en zal deze u niet langer om toestemming vragen).

[Terug naar de inhoudsopgave]

De Chrome-webbrowser opnieuw instellen:

Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.

Scroll naar beneden totdat u de applicatie "Chrome" vindt, selecteer deze en tik op de optie "Opslag".

Tik op "OPSLAG BEHEREN", vervolgens op "ALLE GEGEVENS WISSEN" en bevestig de actie door op "OK" te tikken. Houd er rekening mee dat bij het resetten van de browser alle gegevens die daarin zijn opgeslagen, worden verwijderd. Dit betekent dat alle opgeslagen aanmeldingen/wachtwoorden, browsegeschiedenis, niet-standaard instellingen en andere gegevens worden verwijderd. U moet zich ook opnieuw aanmelden bij alle websites.

[Terug naar de inhoudsopgave]

Verwijder de browsegeschiedenis uit de Firefox-webbrowser:

Tik op de knop "Menu" (drie puntjes in de rechterbovenhoek van het scherm) en selecteer "Geschiedenis" in het geopende vervolgkeuzemenu.

Scroll naar beneden totdat je "Privégegevens wissen" ziet en tik erop. Selecteer de gegevenstypen die je wilt verwijderen en tik op "GEGEVENS WISSEN".

[Terug naar de inhoudsopgave]

Schakel browsermeldingen uit in de Firefox-webbrowser:

Ga naar de website die browsermeldingen verstuurt, tik op het pictogram links van de URL-balk (het pictogram hoeft niet per se een "Slot" te zijn) en selecteer "Site-instellingen bewerken".

Kies in het geopende pop-upvenster de optie "Meldingen" en tik op "WISSEN".

[Terug naar de inhoudsopgave]

De Firefox-webbrowser opnieuw instellen:

Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.

Scroll naar beneden totdat u de applicatie "Firefox" vindt, selecteer deze en tik op de optie "Opslag".

Tik op "GEGEVENS WISSEN" en bevestig de actie door op "VERWIJDEREN" te tikken. Houd er rekening mee dat bij het resetten van de browser alle opgeslagen gegevens worden verwijderd. Dit betekent dat alle opgeslagen logins/wachtwoorden, browsegeschiedenis, niet-standaard instellingen en andere gegevens worden verwijderd. U moet zich ook opnieuw aanmelden bij alle websites.

[Terug naar de inhoudsopgave]

Verwijder mogelijk ongewenste en/of schadelijke applicaties:

Ga naar "Instellingen", scroll naar beneden totdat je "Apps" ziet en tik erop.

Scroll naar beneden totdat u een mogelijk ongewenste en/of schadelijke applicatie ziet, selecteer deze en tik op "Verwijderen". Als u om een of andere reden de geselecteerde app niet kunt verwijderen (bijvoorbeeld omdat u een foutmelding krijgt), kunt u de "Veilige modus" gebruiken.

[Terug naar de inhoudsopgave]

Start het Android-apparaat op in "Veilige modus":

De "Veilige modus" in het Android-besturingssysteem schakelt tijdelijk alle applicaties van derden uit. Het gebruik van deze modus is een goede manier om verschillende problemen te diagnosticeren en op te lossen (bijvoorbeeld het verwijderen van kwaadaardige applicaties die u hiervan weerhouden wanneer het apparaat "normaal" werkt).

Druk op de knop "Power" en houd deze ingedrukt totdat het scherm "Power off" verschijnt. Tik op het pictogram "Power off" en houd het ingedrukt. Na enkele seconden verschijnt de optie "Safe Mode" en kunt u deze uitvoeren door het apparaat opnieuw op te starten.

[Terug naar de inhoudsopgave]

Controleer het batterijverbruik van verschillende applicaties:

Ga naar "Instellingen", scroll naar beneden totdat je "Apparaatonderhoud" ziet en tik erop.

Tik op "Batterij" en controleer het gebruik van elke applicatie. Legitieme/echte applicaties zijn ontworpen om zo min mogelijk energie te verbruiken om de beste gebruikerservaring te bieden en stroom te besparen. Een hoog batterijverbruik kan daarom erop wijzen dat de applicatie kwaadaardig is.

[Terug naar de inhoudsopgave]

Controleer het gegevensgebruik van verschillende applicaties:

Ga naar "Instellingen", scroll naar beneden totdat je "Verbindingen" ziet en tik erop.

Scroll naar beneden totdat u "Datagebruik" ziet en selecteer deze optie. Net als bij de batterij zijn legitieme/echte applicaties ontworpen om het datagebruik zo veel mogelijk te beperken. Dit betekent dat een enorm datagebruik kan duiden op de aanwezigheid van een kwaadaardige applicatie. Houd er rekening mee dat sommige kwaadaardige applicaties zo zijn ontworpen dat ze alleen werken wanneer het apparaat is verbonden met een draadloos netwerk. Controleer daarom zowel het mobiele datagebruik als het wifi-datagebruik.

Als u een applicatie vindt die veel data verbruikt, ook al gebruikt u deze nooit, dan raden wij u ten zeerste aan om deze zo snel mogelijk te verwijderen.

[Terug naar de inhoudsopgave]

Installeer de nieuwste software-updates:

Het up-to-date houden van de software is een goede gewoonte als het gaat om de veiligheid van apparaten. De fabrikanten van apparaten brengen voortdurend verschillende beveiligingspatches en Android-updates uit om fouten en bugs te verhelpen die door cybercriminelen kunnen worden misbruikt. Een verouderd systeem is veel kwetsbaarder, daarom moet u er altijd voor zorgen dat de software van uw apparaat up-to-date is.

Ga naar "Instellingen", scroll naar beneden totdat u "Software-update" ziet en tik erop.

Tik op "Updates handmatig downloaden" en controleer of er updates beschikbaar zijn. Als dat het geval is, installeer ze dan onmiddellijk. We raden ook aan om de optie "Updates automatisch downloaden" in te schakelen. Hierdoor wordt het systeem ingesteld om u te waarschuwen zodra er een update beschikbaar is en/of deze automatisch te installeren.

[Terug naar de inhoudsopgave]

Het systeem terugzetten naar de standaardstatus:

Het uitvoeren van een "fabrieksreset" is een goede manier om alle ongewenste applicaties te verwijderen, de systeeminstellingen terug te zetten naar de standaardinstellingen en het apparaat in het algemeen op te schonen. Houd er echter rekening mee dat alle gegevens op het apparaat worden verwijderd, inclusief foto's, video-/audiobestanden, telefoonnummers (opgeslagen op het apparaat, niet op de simkaart), sms-berichten, enzovoort. Met andere woorden, het apparaat wordt teruggezet naar de oorspronkelijke staat.

U kunt ook de basisinstellingen van het systeem en/of alleen de netwerkinstellingen herstellen.

Ga naar "Instellingen", scroll naar beneden totdat u "Over de telefoon" ziet en tik erop.

Scroll naar beneden totdat u "Reset" ziet en tik erop. Kies nu de actie die u wilt uitvoeren:
" Instellingen resetten" - herstel alle systeeminstellingen naar de standaardinstellingen;
"Netwerkinstellingen resetten" - herstel alle netwerkgerelateerde instellingen naar de standaardinstellingen;
"Fabrieksinstellingen herstellen" - reset het hele systeem en verwijder alle opgeslagen gegevens volledig;

[Terug naar de inhoudsopgave]

Schakel applicaties met beheerdersrechten uit:

Als een kwaadaardige applicatie beheerdersrechten krijgt, kan dit ernstige schade aan het systeem veroorzaken. Om het apparaat zo veilig mogelijk te houden, moet u altijd controleren welke apps dergelijke rechten hebben en de apps die dat niet zouden moeten hebben, uitschakelen.

Ga naar "Instellingen", scroll naar beneden totdat je "Vergrendelingsscherm en beveiliging" ziet en tik erop.

Scroll naar beneden totdat je "Overige beveiligingsinstellingen" ziet, tik erop en tik vervolgens op "App's voor apparaatbeheer".

Zoek apps die geen beheerdersrechten zouden moeten hebben, tik erop en tik vervolgens op "DEACTIVEREN".

Veelgestelde vragen (FAQ)

Mijn apparaat is geïnfecteerd met Landfall-malware. Moet ik mijn opslagapparaat formatteren om ervan af te komen?

U kunt Landfall verwijderen door het apparaat te formatteren, maar hierdoor worden al uw gegevens gewist. Een veiliger alternatief is om het apparaat te scannen en op te schonen met een betrouwbare antivirus-app voor mobiele apparaten, zoals Combo Cleaner.

Wat zijn de grootste problemen die malware kan veroorzaken?

Malware kan toegang krijgen tot persoonlijke informatie zoals wachtwoorden of bankgegevens, aanvallers in staat stellen uw apparaat op afstand te bedienen, de functionaliteit van het systeem schaden, meer schadelijke software installeren of bestanden versleutelen. Dit kan leiden tot financieel verlies, identiteitsdiefstal, gegevensverlies en andere ernstige problemen.

Wat is het doel van Landfall?

Landfall is spyware die is ontworpen voor surveillance, gegevensdiefstal en permanente toegang, waardoor aanvallers zonder medeweten van het slachtoffer gesprekken, berichten, locatie, bestanden en andere persoonlijke gegevens kunnen monitoren.

Hoe is Landfall op mijn apparaat terechtgekomen?

Landfall heeft het apparaat waarschijnlijk geïnfecteerd via een DNG-afbeelding die misbruik maakte van een zero-day-kwetsbaarheid in de afbeeldingenbibliotheek van Samsung. De kwaadaardige afbeelding bevatte een gecomprimeerde payload die door de exploit werd uitgepakt en uitgevoerd, waardoor de loader op het apparaat werd geplaatst. Deze afbeeldingen zijn waarschijnlijk via WhatsApp verzonden.

Beschermt Combo Cleaner mij tegen malware?

Combo Cleaner kan de meeste malware detecteren en verwijderen, hoewel sommige geavanceerde bedreigingen diep verborgen kunnen zijn. Door een volledige apparaatscan uit te voeren, zorgt u ervoor dat malware volledig wordt verwijderd en er geen restanten in het systeem achterblijven.