LANDFALL: Spyware infiltrierte Monate Samsung-Handys

Samsung-Nutzer im Nahen Osten wurden monatelang ausspioniert. Eine hochentwickelte Spyware namens LANDFALL nutzte eine Zero-Day-Lücke in Galaxy-Geräten – und verschickte sich getarnt als Foto über WhatsApp.

Forscher von Palo Alto Networks’ Unit 42 deckten diese Woche die perfide Angriffsmethode auf: Manipulierte Bilddateien installierten die Schadsoftware möglicherweise ohne jeden Klick des Nutzers. Einmal aktiv, zeichnete LANDFALL Mikrofon und Anrufe auf, verfolgte den Standort und stahl Fotos, Kontakte sowie Nachrichten.

Die Spyware zielt auf eine Schwachstelle in Samsungs Bildverarbeitungsbibliothek ab. Die Angreifer betteten ihren Code in DNG-Bilddateien ein – ein Rohdatenformat für digitale Fotos. Versendet über Messenger wie WhatsApp, genügte bereits der Empfang der Datei für eine potenzielle Infektion.

Übrigens — wer WhatsApp-Dateien automatisch empfängt, setzt sein Android-Smartphone aufs Spiel. Ein kostenloses Sicherheitspaket erklärt die fünf wichtigsten Schutzmaßnahmen für Android mit praktischen Schritt-für-Schritt-Anleitungen: automatische Downloads deaktivieren, Updates prüfen und verdächtige Apps erkennen. Gratis-Sicherheitspaket für Android herunterladen

Kein Massenangriff, sondern eine chirurgische Operation: LANDFALL richtete sich gezielt gegen Nutzer im Nahen Osten und Nordafrika. Spuren deuten auf Opfer im Irak, Iran, in der Türkei und Marokko hin.

Betroffen waren vor allem Premium-Modelle:

• Galaxy S22, S23 und S24
• Galaxy Z Fold4
• Galaxy Z Flip4

Die Kampagne lief seit mindestens Mitte 2024. Technische Muster und die genutzte Infrastruktur deuten auf kommerzielle Anbieter von Überwachungssoftware hin – die oft für staatliche Akteure arbeiten.

Samsung reagierte bereits im April

Die ausgenutzte Schwachstelle CVE-2025-21042 schloss Samsung bereits im April 2025 durch ein Firmware-Update. Wer sein Gerät seither aktualisiert hat, ist vor diesem spezifischen Angriff geschützt.

Doch die monatelang unentdeckte Kampagne zeigt: Hochentwickelte Exploits bleiben eine ständige Bedrohung. WhatsApp selbst weist keine neue Sicherheitslücke auf – die Angreifer nutzten die Plattform lediglich als Übertragungsweg für ihre schädlichen Dateien.

Wachsende Industrialisierung der Cyberkriminalität

LANDFALL reiht sich in ein besorgniserregendes Muster ein. Immer häufiger nutzen Angreifer Schwachstellen in der Verarbeitung von Mediendateien – sowohl auf Android als auch iOS. Die Zeiten breit gestreuter Angriffe über den Play Store weichen gezielten Attacken über Messaging-Apps.

Experten sprechen von einer „Industrialisierung” der Cyberkriminalität: Spezialisierte Firmen entwickeln hochentwickelte Spionagewerkzeuge und verkaufen sie für gezielte Operationen. Samsung musste im September 2025 bereits eine weitere Schwachstelle (CVE-2025-21043) in derselben Bildverarbeitungsbibliothek beheben – ebenfalls aktiv ausgenutzt.

So schützen Sie sich

Die Bedrohung ist nicht gebannt. Angreifer suchen kontinuierlich nach neuen Einfallstoren. Diese Maßnahmen minimieren das Risiko:

• Updates sofort installieren: Betriebssystem und Sicherheitspatches nie aufschieben
• Automatischer Download aus: In WhatsApp das automatische Herunterladen von Mediendateien deaktivieren
• Wachsamkeit bewahren: Unerwartete Dateien von unbekannten Kontakten kritisch prüfen

Google Play Protect bietet eine Basis-Absicherung, kann aber gezielte Zero-Day-Angriffe nicht zuverlässig verhindern. Nutzerwachsamkeit und zeitnahe Software-Updates bleiben die wichtigsten Verteidigungslinien gegen diese neue Generation mobiler Bedrohungen.

PS: Wenn Sie Ihr Galaxy-Gerät wirklich schützen wollen, setzen viele Nutzer auf die fünf einfachen Maßnahmen aus diesem kostenlosen Ratgeber – Tipp 3 schließt eine häufig unterschätzte Lücke. Fordern Sie den kompakten Leitfaden jetzt per E‑Mail an. Jetzt Android-Sicherheitspaket anfordern