Samsung: Monatelange Spionage durch Sicherheitslücke
Angriff über harmlos wirkende Fotos
Eine hochentwickelte Überwachungskampagne nutzte eine bisher unbekannte Schwachstelle in Samsung-Smartphones – monatelang unentdeckt. Wer steckt dahinter?
Sicherheitsforscher von Palo Alto Networks haben eine neue Spyware-Familie mit dem Namen „LANDFALL” identifiziert, die gezielt Samsung Galaxy-Nutzer im Nahen Osten ins Visier nahm. Das Perfide: Die Angreifer lieferten ihre Überwachungssoftware über manipulierte Bilddateien aus, vermutlich über Messenger wie WhatsApp. Für die Infektion war möglicherweise nicht einmal ein Klick der Nutzer erforderlich.
Die Sicherheitslücke mit der Kennung CVE-2025-21042 klaffte in Samsungs Bildverarbeitungsbibliothek. Samsung schloss das kritische Leck zwar im April 2025, doch Forscher fanden Beweise, dass LANDFALL die Schwachstelle bereits seit Juli 2024 ausnutzte. Ein Zeitfenster von neun Monaten, in dem Zielpersonen schutzlos waren. Die Entdeckung reiht sich ein in einen besorgniserregenden Trend: Mobile Exploit-Ketten werden immer raffinierter.
Wenn manipulierte Bilddateien und Zero-Click-Exploits Geräte übernehmen können, ist schnelles Handeln gefragt. Ein kostenloses Sicherheitspaket zeigt die 5 wichtigsten Schutzmaßnahmen für Android-Smartphones – mit klaren Schritt-für-Schritt-Anleitungen zu Updates, App-Berechtigungen und sicheren WhatsApp-Einstellungen. Gerade Samsung-Nutzer profitieren von praxisnahen Tipps, um Spyware und Datendiebstahl zu verhindern. Jetzt kostenlosen Android-Sicherheits-Guide herunterladen
Wie gelang es den Angreifern, unbemerkt in die Geräte einzudringen? Die Forscher von Unit 42 stießen bei der Analyse anderer mobiler Exploit-Ketten auf mehrere bösartige DNG-Bilddateien (Digital Negative), die zwischen Juli 2024 und Februar 2025 zum Malware-Scandienst VirusTotal hochgeladen wurden. Diese Dateien waren alles andere als gewöhnliche Fotos – sie enthielten versteckte ZIP-Archive mit den Spyware-Komponenten.
Die Dateinamen ahmten dabei täuschend echt automatisch generierte WhatsApp-Bilder nach, etwa „IMG-20240723-WA0000.jpg”. Allein durch den Empfang und die automatische Verarbeitung des Bildes konnte die Schwachstelle in der Bibliothek libimagecodec.quram.so ausgelöst werden. Das Ergebnis: Fernzugriff und Codeausführung auf dem Gerät – ohne dass der Besitzer die Datei öffnen oder einen Link anklicken musste.
Nach erfolgreicher Infektion arbeitete LANDFALL mehrstufig: Eine Loader-Komponente (b.so) startete den Prozess, während eine weitere Komponente (l.so) die SELinux-Sicherheitsrichtlinie des Geräts manipulierte. So sicherten sich die Angreifer erhöhte Zugriffsrechte und dauerhafte Kontrolle.
Komplette Geräteübernahme als Ziel
Was kann eine Spyware wie LANDFALL? Die Forscher beschreiben sie als umfassendes, modulares Überwachungswerkzeug mit kommerzieller Qualität. Die Fähigkeiten lesen sich wie ein Albtraum für Datenschutz: Audioaufnahmen über das Mikrofon, Ortungsverfolgung in Echtzeit und der Abgriff nahezu aller persönlichen Daten.
Konkret erbeuteten die Angreifer Fotos, Kontaktlisten, Anrufprotokolle und SMS-Nachrichten. Die Kampagne konzentrierte sich gezielt auf Samsung Galaxy-Geräte, darunter die Modelle S22, S23, S24, Z Fold4 und Z Flip4. Die Analyse der hochgeladenen Samples zeigt: Die Ziele befanden sich ausnahmslos im Nahen Osten. Uploads stammten aus Marokko, Iran, Irak und der Türkei.
Keine Massenverteilung also, sondern ein Präzisionsangriff auf ausgewählte Personen. Die Kombination aus gezielter Vorgehensweise und Zero-Day-Ausnutzung deutet auf einen gut finanzierten und hochprofessionellen Akteur hin. Doch wer steckt wirklich dahinter?
Spur führt in die Emirate?
LANDFALL ist kein Einzelfall. Im August 2025 schloss Apple eine ähnliche Zero-Day-Lücke (CVE-2025-43300), die aktiv ausgenutzt wurde. WhatsApp meldete zeitgleich eine Schwachstelle, die damit verknüpft war. Ein Muster zeichnet sich ab: Medien- und Bildverarbeitungsbibliotheken rücken zunehmend in den Fokus von Angreifern.
Unit 42 konnte die Spyware nicht eindeutig einem bestimmten Anbieter oder Staat zuordnen. Allerdings fanden die Forscher Ähnlichkeiten in der Command-and-Control-Infrastruktur mit jener von Stealth Falcon – einer Hackergruppe mit mutmaßlichen Verbindungen zu den Vereinigten Arabischen Emiraten. Für eine definitive Zuschreibung reichen die Indizien jedoch nicht aus.
Die Entdeckung wirft dennoch Licht auf einen florierenden Graumarkt: Private Spyware-Anbieter beliefern Regierungsbehörden mit hochentwickelten Überwachungswerkzeugen. Ein lukratives Geschäft mit weitreichenden Folgen für Menschenrechte und Privatsphäre.
Was Nutzer jetzt wissen müssen
Die gute Nachricht: Samsung hat die Sicherheitslücke CVE-2025-21042 im April 2025 geschlossen. Nutzer, die ihre Geräte regelmäßig aktualisieren, sind vor diesem spezifischen Angriff geschützt. Im September 2025 folgte ein weiterer Patch für eine verwandte Zero-Day-Lücke (CVE-2025-21043), der die Geräte zusätzlich absichert.
Doch die LANDFALL-Kampagne offenbart eine unbequeme Wahrheit: Neun Monate lang agierten die Angreifer im Verborgenen. Die Zeitspanne zwischen Kampagnenstart und öffentlicher Bekanntgabe zeigt, wie lange fortgeschrittene Akteure unentdeckt operieren können.
Was bedeutet das für die Zukunft mobiler Sicherheit? Zero-Click-Exploits sind keine theoretische Bedrohung mehr, sondern gelebte Realität. Regelmäßige Sicherheitsupdates werden zur Pflichtübung, nicht zur Option. Für Sicherheitsforscher heißt es: wachsam bleiben und aktiv nach komplexen, staatlich geförderten Bedrohungen suchen. Das Wettrüsten zwischen Angreifern und Verteidigern hat gerade erst begonnen.
PS: Diese 5 Maßnahmen machen Ihr Android-Smartphone spürbar sicherer – von korrekten Update-Einstellungen bis zu geprüften App-Berechtigungen. Holen Sie sich den kostenlosen Praxisleitfaden mit klaren Checklisten, damit Sie WhatsApp, Banking-Apps und persönliche Daten zuverlässig schützen. Gratis Android-Sicherheits-Paket anfordern
