Samsung-Spionagechip: Spyware LANDFALL nutzte Sicherheitslücke monatelang aus

Eine hochentwickelte Spionagekampagne hat über Monate hinweg eine zuvor unbekannte Schwachstelle in Samsung-Software ausgenutzt, um gezielte Überwachung bei Galaxy-Nutzern durchzuführen. Was steckt hinter dieser perfiden Attacke?

Cybersicherheitsforscher haben eine neue Familie kommerzieller Android-Spyware aufgedeckt, die den Namen “LANDFALL” trägt. Die Software nutzte eine kritische Zero-Day-Schwachstelle, um Samsung Galaxy-Smartphones anzugreifen. Die hochgradig zielgerichtete Operation war mindestens seit Mitte 2024 aktiv und setzte auf manipulierte Bilddateien, die über Messenger wie WhatsApp verschickt wurden. Einmal infiziert, hatten die Angreifer umfassende Kontrolle über die betroffenen Geräte.

Die Schwachstelle, heute unter der Bezeichnung CVE-2025-21042 geführt, wurde monatelang heimlich ausgenutzt, bevor Samsung im April 2025 einen Patch veröffentlichte. Die detaillierten Ergebnisse, die heute von Palo Alto Networks’ Unit 42 publiziert wurden, beleuchten eine ausgeklügelte Spionagekampagne gegen Nutzer im Nahen Osten.

Übrigens: Wenn Sie Ihr Android-Smartphone vor ausgefeilter Spyware wie LANDFALL schützen wollen, helfen oft schon fünf einfache Maßnahmen – von regelmäßigen Sicherheitsupdates bis zur Prüfung empfangener Bilddateien. Unser kostenloses Sicherheitspaket erklärt diese Schritte Schritt für Schritt und zeigt, wie Sie WhatsApp & Co. sicher nutzen. Jetzt kostenloses Android-Sicherheitspaket herunterladen

Im Zentrum der LANDFALL-Kampagne stand eine kritische Schwachstelle in Samsungs Bildverarbeitungsbibliothek. Die Angreifer entwickelten manipulierte DNG-Bilddateien (Digital Negative), die beim Verarbeiten auf einem verwundbaren Gerät Code ausführen konnten – und das völlig ohne Zutun des Nutzers. Diese sogenannte “Zero-Click”-Exploit-Technik macht die Attacke besonders gefährlich.

Die bewaffneten Bilder wurden mit Dateinamen getarnt, die suggerierten, sie stammten von WhatsApp, etwa “IMG-20240723-WA0000.jpg”. Wurde der Exploit ausgelöst, startete ein mehrstufiger Infektionsprozess, der die LANDFALL-Spyware installierte. Dieses modulare Überwachungswerkzeug zielte gezielt auf Samsung Galaxy-Geräte ab.

Die Spyware ermöglichte den Angreifern weitreichende Möglichkeiten: Audioaufnahmen über das Mikrofon, Standortverfolgung und das Abgreifen einer Fülle persönlicher Daten. Gestohlen wurden Fotos, Kontaktlisten, Anruflisten und SMS-Nachrichten. Die Kampagne war offenbar ein präziser Angriff mit Spionagezweck, keine breit angelegte Malware-Operation zur finanziellen Bereicherung.

Die Jagd nach LANDFALL und seine Fähigkeiten

Die Entdeckung von LANDFALL begann Mitte 2025, als Unit 42-Forscher Exploit-Ketten untersuchten, die auf andere mobile Betriebssysteme abzielten. Ihre Suche führte sie zu mehreren verdächtigen DNG-Bilddateien, die zwischen Juli 2024 und Februar 2025 auf die Malware-Analyseplattform VirusTotal hochgeladen worden waren. Die Analyse bestätigte: Diese Dateien nutzten CVE-2025-21042 zur Auslieferung der Spyware.

Die Spyware selbst besteht aus mehreren Komponenten, darunter ein primärer Loader, der Beständigkeit herstellt und die SELinux-Richtlinien des Systems manipuliert, um einer Entdeckung zu entgehen. Zu den Zielgeräten gehörte eine breite Palette moderner Samsung-Flaggschiffe: Galaxy S22, S23, S24-Serien sowie Z Fold 4 und Z Flip 4.

Hinweise aus den hochgeladenen Samples und der Command-and-Control-Infrastruktur deuten darauf hin, dass die Ziele hauptsächlich im Nahen Osten lagen. Potenzielle Opfer wurden im Irak, Iran, in der Türkei und in Marokko identifiziert.

Einordnung in die globale Bedrohungslandschaft

Die LANDFALL-Kampagne ist symptomatisch für einen wachsenden Trend: Anbieter kommerzieller Spyware entwickeln und verkaufen mächtige Überwachungstools an staatliche Akteure. Die Nutzung einer Zero-Day-Schwachstelle in einer populären Bildbibliothek unterstreicht einen wiederkehrenden Angriffsvektor, der bereits bei anderen hochkarätigen Spyware-Attacken auf Android und iOS zu beobachten war.

Zum Vergleich: Apple hatte im August 2025 eine ähnliche Schwachstelle im DNG-Image-Parsing (CVE-2025-43300) gepatcht, die ebenfalls aktiv ausgenutzt wurde. Während der konkrete Anbieter hinter LANDFALL unbekannt bleibt, bemerkten Forscher, dass Infrastruktur und Vorgehensweise Muster mit anderen kommerziellen Spyware-Operationen im Nahen Osten aufweisen.

Einige Ähnlichkeiten in Domain-Registrierung und Infrastruktur wurden mit Stealth Falcon festgestellt, einer Hackergruppe mit bekannten Verbindungen zu den Vereinigten Arabischen Emiraten – eine direkte Verbindung konnte jedoch nicht hergestellt werden. Die Entdeckung unterstreicht das ausgeklügelte und oft verborgene Ökosystem privater Offensiv-Akteure, die diese potenten Cyber-Waffen schaffen.

Ausblick und Schutzmaßnahmen

Für Samsung-Nutzer ist die unmittelbare Bedrohung durch CVE-2025-21042 gebannt. Samsung veröffentlichte stillschweigend einen Patch für die Schwachstelle im Sicherheitsupdate vom April 2025 – lange bevor die LANDFALL-Spyware selbst öffentlich bekannt wurde. Dies unterstreicht die kritische Bedeutung, Geräte stets mit den neuesten Sicherheitspatches zu aktualisieren.

Im September patchte Samsung zudem eine ähnliche, verwandte Zero-Day-Lücke (CVE-2025-21043) in derselben Bildbibliothek und härtete die Geräte weiter gegen diese Angriffsmethode ab. Die öffentliche Enthüllung von LANDFALL dient als eindringliche Mahnung: Die Bedrohung durch ausgefeilte mobile Spyware bleibt bestehen. Für Verbraucher und Unternehmen verstärkt dieser Vorfall die Notwendigkeit von Wachsamkeit, zeitnahen Software-Updates und einer robusten mobilen Sicherheitsstrategie gegen bekannte wie unbekannte Bedrohungen.

PS: Für alle Samsung-Nutzer – auch wenn ein Patch verfügbar ist, lohnt sich Vorsicht: Der Gratis-Ratgeber erklärt die 5 wichtigsten Schutzmaßnahmen gegen Datenklau, welche Einstellungen Sie sofort prüfen sollten und wie Sie manipulierte Dateien erkennen. Gratis-Sicherheitspaket für Android jetzt anfordern