Eine hochentwickelte Android-Spionagesoftware namens „Landfall" nutzte monatelang eine bis dahin unbekannte Sicherheitslücke in Samsung Galaxy-Smartphones aus, um gezielt Nutzer im Nahen Osten auszuspionieren. Die Angreifer verschickten präparierte Bilddateien, die vermutlich ganz ohne Zutun der Opfer die Geräte infizierten – ein sogenannter Zero-Click-Angriff, bei dem schon der Empfang einer Nachricht ausreicht.

Sicherheitsforscher von Palo Alto Networks' Unit 42 deckten die Kampagne auf und wiesen nach: Die Spionagesoftware war mindestens seit Juli 2024 im Einsatz, bevor Samsung im April 2025 einen Patch veröffentlichte. Die Schadsoftware ermöglichte umfassende Überwachung – von Audioaufnahmen über Standortverfolgung bis hin zum Abgreifen sensibler Daten. Doch was macht diesen Angriff so gefährlich?

Unsichtbare Bedrohung per Bilddatei

Die Angreifer setzten auf eine perfide Methode: Sie verschickten manipulierte Digital-Negative-Dateien (DNG) – ein Bildformat, das von professionellen Kameras genutzt wird. Die Dateien trugen harmlos wirkende Namen wie „WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg" und wurden vermutlich über Messenger-Dienste wie WhatsApp verbreitet.

Das Besondere: Vermutlich mussten die Opfer nicht einmal auf die Datei klicken. Allein der Empfang könnte ausgereicht haben, um die Sicherheitslücke CVE-2025-21042 auszulösen. Die Schwachstelle steckte in einer Samsung-eigenen Bildverarbeitungsbibliothek namens libimagecodec.quram.so. Durch einen sogenannten Out-of-Bounds-Write-Fehler konnten die Angreifer Schadcode ausführen und unbemerkt die Landfall-Spyware installieren.

Zero-Click-Exploits gelten als besonders gefährlich, weil sie die letzte Verteidigungslinie – die Vorsicht des Nutzers – vollständig umgehen. Selbst wachsame Smartphone-Besitzer haben kaum eine Chance, sich zu schützen.

Komplettüberwachung auf Knopfdruck

War Landfall erst einmal installiert, verwandelte sich das Galaxy-Smartphone in eine mobile Abhöranlage. Die Spionagesoftware beherrschte ein beeindruckendes Arsenal an Überwachungsfunktionen:

  • Audioaufnahmen über das Mikrofon des Geräts
  • Präzise Standortverfolgung in Echtzeit
  • Datendiebstahl von Fotos, Kontakten, Anruflisten und SMS
  • Exfiltration beliebiger auf dem Gerät gespeicherter Dateien

Die Angreifer hatten es auf hochwertige Ziele abgesehen. Betroffen waren ausschließlich aktuelle Samsung-Flaggschiffe: die Galaxy S22-, S23- und S24-Serien sowie die Falt-Smartphones Galaxy Z Fold4 und Z Flip4. Analysen von Malware-Proben, die auf der Plattform VirusTotal hochgeladen wurden, deuten auf Opfer im Irak, Iran, der Türkei und Marokko hin.

Kein Streuangriff also, sondern gezielte Präzisions-Spionage gegen ausgewählte Personen. Wer genau im Visier stand, bleibt bislang unklar.

Monatelang unentdeckt im Einsatz

Die Landfall-Kampagne operierte bemerkenswert lange im Verborgenen. Die ältesten Spuren der manipulierten DNG-Dateien datieren auf den 23. Juli 2024. Fast ein Jahr lang konnten die Angreifer die Zero-Day-Lücke ausnutzen, bevor Samsung reagierte.

Im April 2025 veröffentlichte der südkoreanische Konzern schließlich ein Sicherheitsupdate, das CVE-2025-21042 schließt. Pikant: In der offiziellen Mitteilung erwähnte Samsung nicht, dass die Lücke bereits aktiv ausgenutzt wurde. Die Entdeckung erfolgte durch Unit 42 im Rahmen einer umfassenderen Untersuchung zu Angriffen auf Bildverarbeitungsbibliotheken mobiler Betriebssysteme.

Der zeitliche Zusammenhang ist auffällig: Apple hatte kurz zuvor eine ähnliche Zero-Day-Lücke (CVE-2025-43300) gepatcht, die ebenfalls in Verbindung mit einer WhatsApp-Schwachstelle (CVE-2025-55177) zur Spyware-Verbreitung genutzt wurde. Ein direkter Zusammenhang konnte zwar nicht nachgewiesen werden, doch die parallele Ausnutzung von Bildparsing-Komponenten deutet auf einen gefährlichen Trend hin.

Kommerzielle Spyware als Geschäftsmodell

Landfall trägt alle Kennzeichen kommerzieller Überwachungssoftware. Die Forscher gehen davon aus, dass die Spyware von einem privaten Anbieter entwickelt und an Regierungskunden verkauft wurde – vergleichbar mit den berüchtigten Produkten von NSO Group oder Candiru.

Die Infrastruktur und Vorgehensweise des Angreifers, den Unit 42 als CL-UNK-1054 führt, weisen Parallelen zu anderen Operationen im Nahen Osten auf. Besonders die Command-and-Control-Server ähneln denen von Stealth Falcon, einer Hackergruppe mit mutmaßlichen Verbindungen zu den Vereinigten Arabischen Emiraten. Einen definitiven Beweis für eine Verbindung gibt es allerdings nicht.

Der Fall reiht sich ein in eine Serie von DNG-basierten Angriffen: Samsung musste im September 2025 eine weitere Schwachstelle (CVE-2025-21043) patchen, die von Meta und WhatsApp gemeldet worden war. Ein beunruhigendes Muster wird sichtbar.

Was Nutzer jetzt tun sollten

Die unmittelbare Gefahr durch CVE-2025-21042 ist gebannt – vorausgesetzt, die betroffenen Galaxy-Geräte sind auf dem neuesten Stand. Samsung hat den notwendigen Firmware-Patch bereits im April 2025 ausgerollt. Nutzer der genannten Modelle sollten umgehend prüfen, ob alle Sicherheitsupdates installiert sind.

Der Landfall-Fall verdeutlicht eindrücklich, wie kommerzielle Spyware auch Zero-Day-Lücken in den weltweit meistverkauften Smartphones ausnutzt. Diese Angriffe operieren oft monatelang oder gar jahrelang im Verborgenen, bevor sie entdeckt werden. Die Grenze zwischen staatlicher Überwachung und krimineller Spionage verschwimmt zunehmend.

Sicherheitsforscher beobachten die Aktivitäten von CL-UNK-1054 weiterhin und suchen nach verwandten Kampagnen. Für Verbraucher bleibt die wirksamste Verteidigung simpel: Sicherheitsupdates sofort installieren und bei unaufgefordert erhaltenen Nachrichten wachsam bleiben – selbst wenn diese scheinbar keine Interaktion erfordern. Denn im Zeitalter von Zero-Click-Exploits reicht bereits der Empfang.