Sicherheitsforscher haben eine hochentwickelte Spyware namens „Landfall“ aufgedeckt, die fast ein Jahr lang gezielt Samsung-Galaxy-Smartphones angriff. Die Schadsoftware nutzte eine bisher unbekannte Sicherheitslücke, um ohne Zutun des Nutzers die vollständige Kontrolle über Geräte zu erlangen. Obwohl Samsung die Lücke inzwischen geschlossen hat, wirft der Vorfall ein Schlaglicht auf die wachsende Bedrohung durch kommerzielle Überwachungssoftware.
Die Entdeckung wurde von Forschern des Cybersicherheitsunternehmens Palo Alto Networks und dessen Forschungsteam Unit 42 gemacht. Die Angreifer konnten durch den Versand eines manipulierten Bildes auf sensible Daten zugreifen, das Mikrofon und die Kamera aktivieren und das Gerät aus der Ferne steuern. Betroffen waren vor allem Nutzer im Nahen Osten.
Wichtige Erkenntnisse
- Eine neue Spyware namens „Landfall“ nutzte eine Zero-Day-Lücke in Samsung-Geräten.
- Der Angriff erfolgte „Zero-Click“, also ohne dass der Nutzer eine Aktion ausführen musste.
- Die Schadsoftware konnte Daten stehlen sowie Kamera und Mikrofon aktivieren.
- Samsung hat die Sicherheitslücke (CVE-2025-21042) mit dem Sicherheitsupdate vom April 2025 geschlossen.
- Die Angriffe waren gezielt und fanden hauptsächlich im Nahen Osten statt.
Wie der unsichtbare Angriff funktionierte
Die „Landfall“-Spyware nutzte eine besonders heimtückische Methode, um Geräte zu infizieren. Angreifer versendeten eine speziell präparierte Bilddatei im DNG-Format, einem Rohdatenformat, das auf dem TIFF-Standard basiert. Diese Datei wurde vermutlich über gängige Messenger-Dienste wie WhatsApp an die Zielpersonen geschickt.
Das Besondere an diesem Angriff war die „Zero-Click“-Natur. Der Nutzer musste die Datei weder öffnen noch herunterladen. Allein die Verarbeitung des Bildes durch das Betriebssystem, etwa zur Erstellung einer Vorschau in der Galerie oder im Chat, reichte aus, um den schädlichen Code auszuführen. Dies war aufgrund einer Schwachstelle in der Bildverarbeitungsbibliothek von Samsung möglich.
Versteckter Code in einer Bilddatei
Im Inneren der manipulierten DNG-Datei war ein ZIP-Archiv versteckt, das die eigentliche Spyware enthielt. Sobald das System versuchte, das Bild zu verarbeiten, wurde der Schadcode entpackt und ausgeführt. Die Spyware installierte sich tief im System und passte die Sicherheitsrichtlinien des Geräts (SELinux) an, um sich weitreichende Berechtigungen zu verschaffen und einer Entdeckung zu entgehen.
„Ein Zero-Click-Exploit ist besonders gefährlich, da er keine Interaktion des Nutzers erfordert. Das macht es für die Opfer praktisch unmöglich, eine Infektion zu vermeiden“, erklären die Forscher von Unit 42 in ihrem Bericht.
Welche Daten und Geräte waren im Visier?
Nach einer erfolgreichen Infektion kontaktierte „Landfall“ einen Kontrollserver und übermittelte grundlegende Informationen über das kompromittierte Gerät. Von diesem Zeitpunkt an hatten die Angreifer die volle Kontrolle und konnten eine Vielzahl von Daten abgreifen.
Gestohlene Informationen
Zu den Daten, auf die die Angreifer zugreifen konnten, gehörten unter anderem:
- Kontaktlisten und Anrufprotokolle
- Auf dem Gerät gespeicherte Dateien und Dokumente
- Browserverlauf und Lesezeichen
- Liste der installierten Apps
- Eindeutige Hardware- und Nutzer-IDs
Darüber hinaus war die Spyware in der Lage, die Kamera und das Mikrofon des Smartphones unbemerkt zu aktivieren, um Gespräche mitzuhören oder die Umgebung des Nutzers visuell zu überwachen. Diese umfassenden Spionagefunktionen deuten darauf hin, dass es sich um eine gezielte Überwachungskampagne handelte.
Betroffene Samsung-Modelle
Die Analyse des Schadcodes durch Unit 42 ergab, dass die Spyware speziell auf bestimmte Samsung-Modelle abzielte. Im Code wurden direkte Referenzen auf folgende Geräte gefunden:
- Galaxy S22 Serie
- Galaxy S23 Serie
- Galaxy S24 Serie
- Galaxy Z Flip 4
- Galaxy Z Fold 4
Es wird vermutet, dass die Sicherheitslücke in Android-Versionen von 13 bis 15 vorhanden war, bevor sie von Samsung geschlossen wurde.
Hintergründe und Schutzmaßnahmen
Die „Landfall“-Kampagne war nach Erkenntnissen der Forscher von Juli 2024 bis Anfang 2025 aktiv. Die Spuren der Angriffe führen in den Nahen Osten, insbesondere in den Irak, den Iran, die Türkei und Marokko. Dies legt nahe, dass es sich um gezielte Überwachungsaktionen gegen bestimmte Personen oder Gruppen handelte und nicht um einen breit angelegten Angriff auf alle Samsung-Nutzer.
Wer steckt hinter dem Angriff?
Die genaue Zuordnung der Angreifer ist schwierig. Unit 42 stellt jedoch fest, dass bestimmte technische Merkmale von „Landfall“, wie Namensschemata und die Kommunikation mit den Servern, Ähnlichkeiten mit bekannter kommerzieller Spyware von Unternehmen wie der NSO Group oder Variston aufweisen. Eine direkte Verbindung konnte bisher jedoch nicht nachgewiesen werden.
Die Sicherheitslücke mit der Kennung CVE-2025-21042 wurde von Samsung bereits im April 2025 durch ein Sicherheitsupdate geschlossen. Die Details des Angriffs wurden jedoch erst jetzt veröffentlicht, um zu verhindern, dass Nachahmer die Lücke ausnutzen, bevor ein Großteil der Geräte aktualisiert wurde.
Für Nutzer von Samsung-Geräten ist es daher entscheidend, sicherzustellen, dass ihr Smartphone auf dem neuesten Softwarestand ist. Überprüfen Sie in den Einstellungen unter „Software-Update“, ob die Sicherheits-Patch-Ebene von April 2025 oder neuer installiert ist. Regelmäßige Updates sind der wirksamste Schutz gegen solche Bedrohungen.
