Eine turbulente Woche erschüttert die Android-Sicherheit: Google warnt vor einer kritischen Schwachstelle, die Angreifer ohne jede Nutzerinteraktion ausnutzen können. Parallel dazu enthüllen Forscher eine monatelange Spionagekampagne gegen Samsung-Geräte im Nahen Osten. Beide Vorfälle zeigen, wie verwundbar selbst moderne Smartphones sind.

Googles Sicherheitsbulletin für November 2025 liest sich wie ein Alptraum für Sicherheitsexperten. Die Schwachstelle CVE-2025-48593 erlaubt Angreifern die vollständige Kontrolle über Android-Geräte – ganz ohne dass Nutzer auf Links klicken oder Apps installieren müssen. Betroffen sind die Android-Versionen 13 bis 16, was Hunderte Millionen Geräte weltweit gefährdet.

Zeitgleich deckte das Sicherheitsteam Unit 42 von Palo Alto Networks eine neunmonatige Späh-Operation auf. Die kommerzielle Spyware „LANDFALL" nutzte eine bislang unbekannte Sicherheitslücke in Samsung Galaxy-Handys, um gezielt Personen im Nahen Osten zu überwachen.

Gefahr auf Systemebene

Was CVE-2025-48593 so bedrohlich macht, ist ihre „Zero-Click"-Natur. Herkömmliche Schutzmaßnahmen wie „Klicken Sie nicht auf verdächtige Links" laufen hier ins Leere. Die Schwachstelle liegt in der Kernsystemkomponente von Android und resultiert aus unzureichender Validierung von Nutzereingaben.

Gelingt es Angreifern, weitere Schutzbarrieren zu umgehen, können sie das System komplett übernehmen. Google stuft die Lücke entsprechend als kritisch ein – die höchste Risikostufe.

Eine zweite Schwachstelle, CVE-2025-48581, betrifft ausschließlich Android 16. Sie ermöglicht lokalen Angreifern eine Privilegienerweiterung und könnte theoretisch Sicherheitsupdates blockieren. Die Android-Partner und Gerätehersteller wurden bereits vor einem Monat informiert und haben mit der Patch-Verteilung begonnen.

Professionelle Spionage mit Samsung-Exploit

Die LANDFALL-Kampagne zeigt, wie kommerzielle Spyware-Anbieter gezielt Sicherheitslücken in populären Geräten ausnutzen. Die Schwachstelle CVE-2025-21042 steckte in einer Samsung-Bibliothek zur Bildverarbeitung – ein klassischer Angriffspunkt, da die Verarbeitung komplexer Bilddateien fehleranfällig ist.

Die Angreifer versendeten vermutlich manipulierte DNG-Bilddateien über Messenger wie WhatsApp. Öffnete das Opfer die Datei, installierte sich die Spyware im Hintergrund. Die Fähigkeiten waren beeindruckend: Mikrofon- und Anrufaufzeichnung, GPS-Tracking sowie der Zugriff auf Fotos, Kontakte und Nachrichten.

Besonders brisant: Die Kampagne lief mindestens von Juli 2024 bis April 2025 – neun Monate unentdeckter Spionage. Erst dann veröffentlichte Samsung einen Patch. Die Ziele befanden sich hauptsächlich im Irak, Iran, in der Türkei und Marokko. Die Forscher vermuten Verbindungen zu kommerziellen Überwachungsdienstleistern, die für Regierungen arbeiten.

Explodierendes Malware-Ökosystem

Die beiden Vorfälle fügen sich in einen besorgniserregenden Trend. Laut Zscaler stiegen Android-Malware-Transaktionen im Jahresvergleich um 67 Prozent. Allein zwischen Juni 2024 und Mai 2025 wurden über 42 Millionen Downloads von schädlichen Apps aus dem Google Play Store verzeichnet.

Neue Bedrohungen tauchen wöchentlich auf. Erst kürzlich entdeckten Forscher „Fantasy Hub", einen Android-Trojaner, der als Malware-as-a-Service über russischsprachige Telegram-Kanäle verkauft wird. Das Geschäftsmodell senkt die Einstiegshürde für Cyberkriminelle dramatisch – technisches Know-how wird überflüssig.

Auch staatlich unterstützte Gruppen mischen mit. Die nordkoreanische Hackergruppe KONNI missbrauchte Googles „Find Hub"-Dienst, um Android-Geräte südkoreanischer Ziele fernzulöschen. Ein kreativer, wenn auch destruktiver Ansatz.

Die Patch-Gap-Problematik

Das LANDFALL-Beispiel illustriert ein fundamentales Problem: die Lücke zwischen Entdeckung und Behebung von Schwachstellen. Während Samsung im April 2025 reagierte, waren Nutzer monatelang zuvor schutzlos. Diese „Patch Gap" ist besonders bei gezielten Angriffen fatal, da Opfer oft erst nachträglich erfahren, dass sie kompromittiert wurden.

Für Unternehmen mit Bring-Your-Own-Device-Richtlinien stellen Zero-Click-Exploits ein erhebliches Risiko dar. Mobile Device Management-Lösungen können helfen, Patches durchzusetzen und Unternehmensdaten zu isolieren. Doch die Realität sieht anders aus: Viele Nutzer verzögern Updates oder verwenden Geräte, die keine aktuellen Patches mehr erhalten.

Die Komplexität des Android-Ökosystems verschärft das Problem. Während Google Patches bereitstellt, müssen Gerätehersteller diese für ihre spezifischen Modelle anpassen und verteilen – ein Prozess, der Wochen oder Monate dauern kann. Ältere Geräte fallen oft ganz durchs Raster.

Die Botschaft der Sicherheitsforscher ist eindeutig: Updates sollten unverzüglich installiert werden. Die Bedrohungslandschaft wird komplexer, die Angreifer professioneller. Was heute als sicher gilt, kann morgen bereits kompromittiert sein.