Samsung-Galaxy: Spyware infiltriert über WhatsApp-Bilder

Eine hochentwickelte Android-Spyware nutzt manipulierte Fotos, um Samsung-Smartphones zu kapern. Die “Landfall” getaufte Schadsoftware schlüpft über WhatsApp auf die Geräte – ohne dass Nutzer etwas davon merken.

Sicherheitsforscher von Palo Alto Networks Unit 42 schlugen diese Woche Alarm: Die Angreifer missbrauchten monatelang eine kritische Schwachstelle in Samsung-Geräten. Betroffen sind vor allem Nutzer im Nahen Osten. Die Kampagne läuft mindestens seit Juli 2024.

Die Angreifer nutzten eine Lücke in Samsungs Bildverarbeitungsbibliothek aus – erfasst als CVE-2025-21042. Ihr Werkzeug: scheinbar harmlose Bilddateien im DNG-Format, versendet über WhatsApp.

Die perfide Mechanik: In den Bildern versteckt sich ein ZIP-Archiv mit Schadcode. Sobald das Samsung-System die Datei verarbeitet, entpackt und startet sich die Spyware automatisch. Dateinamen wie “IMG-20240723-WA0000.jpg” verraten die Tarnung als alltägliches WhatsApp-Foto.

Apropos Schutz vor Android-Spyware – viele Nutzer übersehen einfache Sicherheitsmaßnahmen, mit denen Angriffe wie “Landfall” deutlich schwerer werden. Unser kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android, inklusive konkreter Einstellungen für WhatsApp, Update-Tipps und Schritt-für-Schritt-Anleitungen. Schützen Sie Ihr Gerät jetzt, bevor Schadcode zuschlägt. Jetzt kostenloses Sicherheitspaket für Android herunterladen

Dieser Zero-Click-Angriff funktioniert ohne jede Nutzeraktion – kein Öffnen, kein Klicken nötig. Die Schwachstelle betrifft mehrere Flaggschiff-Modelle:

• Galaxy S22, S23 und S24
• Galaxy Z Fold 4
• Galaxy Z Flip 4

Totale Überwachung nach der Infektion

Hat sich “Landfall” eingenistet, entfaltet die Spyware ihr volles Arsenal. Die Malware verwandelt das Smartphone in eine mobile Abhörstation – mit Root-Rechten ausgestattet und kaum wieder loszuwerden.

Was die Angreifer abgreifen:

• Telefonate und Umgebungsgeräusche über das Mikrofon
• Exakte GPS-Standortdaten
• Private Fotos und Videos
• Kontakte und Anrufprotokolle
• SMS-Nachrichten und WhatsApp-Kommunikation

Die Malware besteht aus zwei Kernmodulen: der Backdoor “Bridge Head” und einem SELinux-Manipulator. Letzterer hebelt die Android-Sicherheitsarchitektur aus und verschafft der Spyware dauerhafte Systemrechte.

Schatten ohne Gesicht

Samsung schloss die Lücke CVE-2025-21042 bereits im April 2025. Pikantes Detail: Der Hersteller verschwieg damals, dass Angreifer die Schwachstelle bereits als Zero-Day ausnutzten. Monatelang konnten die Täter ungestört operieren.

Wer steckt dahinter? Palo Alto Networks führt die Gruppe unter dem Code CL-UNK-1054. Spuren deuten auf “Stealth Falcon”, eine Hackergruppe mit Verbindungen zu den Vereinigten Arabischen Emiraten. Eindeutige Beweise fehlen jedoch.

Die Namensgebung der Malware-Komponenten ähnelt Produkten kommerzieller Überwachungsfirmen wie NSO Group, Variston und Cytrox. VirusTotal-Uploads verraten die Zielregionen: Irak, Iran, Türkei und Marokko.

Teil eines globalen Problemen

“Landfall” ist kein Einzelfall. Im August 2025 mussten Apple und WhatsApp ähnliche Lücken schließen – CVE-2025-43300 und CVE-2025-55177 ermöglichten ebenfalls Zero-Click-Angriffe, diesmal auf iPhones.

“Dies war keine massenhaft verbreitete Malware, sondern ein Präzisionsangriff”, erklärt Itay Cohen von Unit 42. Die hochentwickelte Infrastruktur, das maßgeschneiderte Design und die Nutzung von Zero-Days sind typisch für staatliche oder kommerzielle Spionageoperationen.

Bildverarbeitungsbibliotheken geraten zunehmend ins Visier. Ihr komplexer Code bietet Angreifern zahlreiche Angriffsflächen – und wird von Apps wie WhatsApp automatisch ausgeführt.

Schutz: Was jetzt zählt

Besitzer betroffener Samsung-Modelle sollten sofort prüfen, ob das April-2025-Update installiert ist. Das Patch schließt die “Landfall”-Lücke.

Grundlegende Schutzmaßnahmen:

• Automatische Updates aktivieren
• Regelmäßig nach neuen Patches suchen
• Apps nur aus vertrauenswürdigen Quellen installieren
• Sicherheitshinweise der Hersteller beachten

Das BSI warnt regelmäßig vor neuen Schwachstellen. Gegen Zero-Click-Exploits hilft letztlich nur eines: Software auf dem neuesten Stand halten. Selbst vorsichtiges Verhalten reicht nicht, wenn Angreifer solche digitalen Waffen einsetzen.

PS: Übrigens — mit fünf einfachen Maßnahmen lässt sich Ihr Android-Smartphone spürbar besser gegen Datendiebstahl schützen; Tipp 3 schließt eine oft übersehene Lücke, die auch Zero-Click-Angriffe erschweren kann. Fordern Sie den gratis Ratgeber mit klaren Schritt-für-Schritt-Anweisungen und praktischen Checklisten für WhatsApp, Update-Management und App-Prüfung an. Gratis-Ratgeber: 5 Schutzmaßnahmen für Ihr Android anfordern