Samsung-Spyware „Landfall: Monatelange Überwachung via WhatsApp-Bilder

Eine hochentwickelte Spionagekampagne nutzte eine Zero-Day-Lücke in Samsung Galaxy-Geräten über Monate hinweg aus, um Nutzer durch manipulierte Bilder via WhatsApp zu überwachen. Die Spyware „Landfall” verschaffte Angreifern die vollständige Kontrolle über die Geräte ihrer Opfer – ganz ohne Zutun der Nutzer.

Sicherheitsforscher von Palo Alto Networks’ Unit 42 deckten diese Woche die Operation auf. Die Attacke begann bereits im Juli 2024 und richtete sich gezielt gegen Personen im Nahen Osten. Die Angreifer versendeten scheinbar harmlose Bilder, die im Hintergrund die mächtige Spyware installierten. Die Schwachstelle, mittlerweile als CVE-2025-21042 identifiziert, steckte in Samsungs Bildverarbeitungsbibliothek und wurde erst im April 2025 geschlossen – ein enormes Zeitfenster für die Täter. Diese Entdeckung unterstreicht einen besorgniserregenden Trend: Bilddateien werden zunehmend als Waffe für sogenannte Zero-Click-Angriffe auf mobile Geräte eingesetzt.

Ein unsichtbarer Angriff: So funktionierte Landfall

Die Raffinesse des Angriffs lag in seiner Unauffälligkeit. Angreifer versteckten die Landfall-Spyware in DNG-Bilddateien (Digital Negative), die als gewöhnliche WhatsApp-Bilder getarnt wurden – mit Dateinamen wie „WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg”. Diese manipulierten Dateien wurden per WhatsApp an die Zielpersonen verschickt。

Apropos Schutz vor Smartphone-Spionage — viele Android-Nutzer wissen nicht, welche einfachen Schritte solche Angriffe verhindern können. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Maßnahmen, mit denen Sie WhatsApp, Apps und Ihr Gerät vor Spyware wie Landfall schützen: automatische Updates, Berechtigungs-Checks, geprüfte Apps und einfache Prüf-Routinen. Praktische Schritt-für-Schritt-Anleitungen machen die Umsetzung leicht. Jetzt kostenlosen Sicherheitspaket herunterladen

Aufgrund der Schwachstelle CVE-2025-21042 in einer Samsung-Bildverarbeitungskomponente (der Bibliothek libimagecodec.quram.so) verarbeitete das Gerät das Bild automatisch beim Empfang. Dieser Vorgang löste den Schadcode aus und ermöglichte die Fernausführung von Code sowie die Installation der Spyware – potenziell ohne jegliche Nutzerinteraktion. Das ist das Markenzeichen eines „Zero-Click”-Exploits.

WhatsApp selbst weist laut den Forschern keine Schwachstelle auf. Die Messaging-App diente lediglich als Transportmittel für den Angriff auf die Gerätesoftware.

Das Ausmaß der Kompromittierung: Betroffene Geräte und Spionagefunktionen

Die Landfall-Kampagne war hochgezielt und konzentrierte sich auf bestimmte Samsung Galaxy-Modelle: die S22-, S23-, S24-Serien sowie das Z Fold4 und Z Flip4. Daten von VirusTotal zeigen, dass die Hauptziele in Ländern wie Iran, Irak, Türkei und Marokko lagen.

Nach der Installation operierte Landfall als umfassendes Überwachungswerkzeug. Die Spyware konnte:
* Audio über das Mikrofon aufzeichnen
* Den Standort des Geräts verfolgen
* Persönliche Daten in großem Umfang abgreifen

Angreifer erbeuteten Fotos, Kontakte, Anruflisten und SMS-Nachrichten. Das kompromittierte Smartphone verwandelte sich faktisch in eine Taschenwanze. Die gezielte Natur der Attacke deutet auf Spionage als Motiv hin – nicht auf finanziellen Gewinn.

Ein Muster: Bildbasierte Exploits nehmen zu

Dieser Vorfall steht nicht isoliert da, sondern fügt sich in ein besorgniserregendes Muster von Schwachstellen in Bildverarbeitungsbibliotheken auf verschiedenen mobilen Plattformen ein. Die Technik ähnelt einer Exploit-Kette, die im August 2025 bei Apple-Geräten entdeckt wurde. In jener Kampagne kombinierte man eine Lücke in Apples Bildverarbeitung (CVE-2025-43300) mit einem WhatsApp-Fehler (CVE-2025-55177), um Spyware an iOS-Nutzer zu übermitteln.

Die wiederholte Verwendung manipulierter DNG-Dateien legt nahe, dass sich Angreifer zunehmend auf diese komplexen Dateiformate konzentrieren. Sie suchen dort nach Zero-Day-Schwachstellen und nutzen sie aus. Samsung selbst schloss im September 2025 eine weitere ähnliche DNG-bezogene Zero-Day-Lücke (CVE-2025-21043), die ebenfalls aktiv ausgenutzt worden war.

Kommerzielle Spyware auf dem Vormarsch

Die Entdeckung von Landfall verdeutlicht die Verbreitung kommerzieller Spyware, die verschiedenen Akteuren zur Verfügung steht – darunter Nationalstaaten und private Einrichtungen. Unit 42 stellte fest, dass die Loader-Komponente der Spyware Anzeichen kommerzieller Herkunft aufwies. Die Forscher verzichteten auf eine definitive Zuordnung, doch Raffinesse und Zielgenauigkeit passen zu Kampagnen gut ausgestatteter Überwachungsgruppen.

Kann man selbst den führenden Herstellern noch vertrauen? Dieser Vorfall führt drastisch vor Augen, dass selbst die populärsten und als sicher geltenden Geräte kritische, unentdeckte Schwachstellen bergen können. Die Abhängigkeit von geschlossenen Drittanbieter-Bibliotheken für Kernfunktionen wie die Bildverarbeitung schafft systemische Risiken über eine gesamte Produktlinie hinweg – wie das Beispiel der betroffenen Samsung-Bibliothek zeigt.

Schutz und Ausblick

Samsung behob die Schwachstelle CVE-2025-21042 im April-Sicherheitspatch 2025. Nutzer, deren Geräte mit Sicherheitsupdates ab April 2025 aktualisiert wurden, sind vor diesem spezifischen Exploit geschützt. Die Landfall-Kampagne lief jedoch mindestens neun Monate, bevor die Lücke geschlossen wurde.

Die zentrale Lehre: Zeitnahe Software-Updates sind kritisch. Sicherheitsexperten dringen darauf, dass alle Nutzer sicherstellen, dass ihre Geräte die neueste Betriebssystemversion verwenden. Automatische Updates sollten aktiviert werden, wann immer möglich.

Dieser Vorfall wird wahrscheinlich zu verstärkter Kontrolle von Bildverarbeitungsbibliotheken durch Gerätehersteller und Sicherheitsforscher führen. Für Organisationen und Personen mit erhöhtem Risiko erfordert die Bedrohung durch Zero-Click-Exploits eine mehrschichtige Sicherheitsstrategie, einschließlich mobiler Bedrohungserkennungslösungen, um solch ausgefeilte Angriffe in Echtzeit zu identifizieren und abzuwehren。

PS: Für alle, die sich schnell schützen wollen — dieses Gratis-Sicherheitspaket für Android fasst die 5 wichtigsten Maßnahmen in einer praktischen Checkliste zusammen. Ideal für WhatsApp-Nutzer, die gezielt ihre Privatsphäre stärken möchten. Gratis-Ratgeber: 5 Schutzmaßnahmen für Ihr Android herunterladen