Spionage: Samsung-Nutzer mit bisher unbekannter Spyware attackiert
Sicherheitsforscher der Unit 42 von Palo Alto Networks haben Angriffsaktivitäten in Verbindung mit einer zuvor unbekannten Spyware namens Landfall aufgedeckt. Wie die Forscher in einem Blogbeitrag(öffnet im neuen Fenster) schildern, bedienten sich die Angreifer einer Zero-Day-Lücke, um anfällige Samsung-Smartphones zu infiltrieren – und das schon mehrere Monate bevor der Hersteller einen Patch bereitgestellt hatte.
Bei der besagten Sicherheitslücke handelt es sich um CVE-2025-21042(öffnet im neuen Fenster) . Mit einem CVSS-Wert von 9,8 verfügt sie über einen kritischen Schweregrad. Ursache ist ein möglicher Out-of-Bounds-Write ( CWE-787(öffnet im neuen Fenster) ) in einer Bildverarbeitungsbibliothek (libimagecodec.quram.so). Angreifer können die Lücke ausnutzen, um eigenen Code zur Ausführung zu bringen.
Einen Patch gegen CVE-2025-21042 stellte Samsung schon im April 2025 bereit(öffnet im neuen Fenster) . Nach Angaben der Unit-42-Forscher war das für einige Angriffsopfer aber offenkundig schon zu spät. Die im Blogbeitrag beschriebene Landfall-Kampagne lief wohl mindestens seit Juli 2024. Zu dieser Zeit tauchten jedenfalls erste Hinweise zu den beobachteten Attacken auf Virustotal auf.
Umfangreiche Spionage möglich
Landfall wurde laut Unit 42 über speziell gestaltete Bilddateien im DNG-Format ( Digital Negative(öffnet im neuen Fenster) ) verbreitet, die via Whatsapp auf die jeweiligen Zielgeräte gelangt sind. Die Forscher gehen davon aus, dass für eine erfolgreiche Infektion keinerlei Interaktion des Opfers erforderlich war ( "Zero Click" ). Vermutlich reichte es also, eine entsprechende Bilddatei im Chatverlauf erscheinen zu lassen. Zu den attackierten Geräten zählen die Samsung-Modelle Galaxy S22, S23 und S24 sowie Z Fold 4 und Z Flip 4.
Die Sicherheitsforscher schreiben Landfall weitreichende Fähigkeiten zu. Die Spyware nimmt etwa ein Device-Fingerprinting vor und liest dafür auf infizierten Geräten unter anderem die Android-Versionen, Hardware-IDs, SIM-Kartennummern, Netzwerkkonfigurationen sowie eine Liste der jeweils installierten Apps aus.
Zudem ist Landfall in der Lage, Telefonate mitzuschneiden, Mikrofone anzuzapfen und auf lokal gespeicherte Fotos, Kontakte, Browserdaten, Chatverläufe sowie beliebige Dateien zuzugreifen. Überdies kann der Angreifer auf infizierten Geräten weiteren Schadcode nachladen und diesen zur Ausführung bringen. Einige Funktionen der Spyware zielen darauf ab, einer möglichen Erkennung zu entgehen und damit unbemerkt zu bleiben.
Verbindungen zu weiterer Sicherheitslücke
Samsung hatte erst im September mit CVE-2025-21043(öffnet im neuen Fenster) eine weitere aktiv ausgenutzte Sicherheitslücke in libimagecodec.quram.so gepatcht. Laut Unit 42 weist diese ähnliche Eigenschaften wie CVE-2025-21042 auf. Die Forscher nehmen an, dass eine Verbindung zwischen den Landfall-Attacken und der späteren Ausnutzung von CVE-2025-21043 besteht.
Wer genau mit der Landfall-Spyware attackiert wurde, ist noch unklar. Nach Angaben der Forscher gibt es aber Hinweise darauf, dass die Angriffe auf Nutzer aus dem Irak, Iran, der Türkei sowie Marokko abzielten.