Es wurde eine ausgeklügelte Spyware-Kampagne namens “Landfall” gefunden, die auf Besitzer von Samsung Galaxy-Smartphones und wahrscheinlich auch anderen Android-Geräten abzielt. Die Kampagne wurde von Cybersicherheitsforschern bei Palo Alto Networks’ Unit 42 aufgedeckt, die sagen, dass das Tool eine Zero-Day-Schwachstelle zur Remote-Codeausführung (CVE-2025-21042) in Samsungs Bildverarbeitungsbibliothek libimagecodec.quram.so ausnutzte. Die Schwachstelle hatte einen Schweregrad von 9,8 von 10 Punkten und ermöglichte es Angreifern, ohne Benutzerinteraktion die volle Kontrolle über ein Gerät zu übernehmen.
Dem Bericht zufolge war die Spyware in bösartige DNG-Bilddateien eingebettet, die anscheinend über WhatsApp oder andere Messaging-Apps geteilt wurden. Beim Öffnen extrahierten die Dateien ein verstecktes .zip-Archiv, das einen Loader und ein Policy-Manipulator-Modul installierte, das erhöhte Berechtigungen über die SELinux-Richtlinien des Systems gewährte. Sobald die Spyware aktiv ist, kann sie Standortdaten, Mikrofonaufzeichnungen, Anruflisten, Nachrichten, Fotos und Dateien sammeln. Es verfügte auch über Persistenzmechanismen, die in der Lage waren, nativen Code auszuführen, Bibliotheken zu injizieren und der Erkennung zu entgehen, indem die ursprünglichen Bilddateien entfernt wurden.
Zu den betroffenen Geräten gehören die Modelle Samsung Galaxy S22, S23, S24, Z Fold4 und Z Flip4. Die Kampagnen scheinen sich auf Opfer im Nahen Osten und Nordafrika konzentriert zu haben, darunter im Irak, Iran, in der Türkei und in Marokko. Obwohl keine direkte Zuschreibung erfolgte, sagt Einheit 42, dass das Tool “kommerziell” zu sein scheint und wahrscheinlich von offensiven Akteuren des privaten Sektors verwendet wird, die Dienstleistungen für Regierungsstellen erbringen.
Samsung-Benutzer müssen jetzt handeln, um ihre Geräte zu schützen
Samsung hat im April 2025 Firmware-Updates veröffentlicht, um die Schwachstelle zu beheben, und die Benutzer werden dringend aufgefordert, alle verfügbaren Patches sofort anzuwenden. Opfer, die keine Updates angewendet haben, können weiterhin dem Risiko einer Remote-Übernahme ausgesetzt sein, ohne dass es sichtbare Anzeichen einer Kompromittierung gibt. Einheit 42 identifizierte mindestens sechs Command-and-Control-Server, die von den Angreifern aktiv genutzt wurden, was auf eine laufende Operation hindeutet.
Sicherheitsexperten empfehlen Galaxy-Besitzern, mehrere wichtige Schritte zu unternehmen: Stellen Sie sicher, dass ihre Gerätesoftware vollständig aktualisiert ist, vermeiden Sie das Öffnen von Bildanhängen aus unbekannten oder unerwünschten Quellen und aktivieren Sie starke Schutzmaßnahmen auf Geräteebene, wie z. B. biometrische Authentifizierung oder PIN-Codes. Es ist auch ratsam, nur Apps aus vertrauenswürdigen Stores zu verwenden und Funktionen wie Samsung Knox oder die integrierte Bedrohungserkennung von Android zu aktivieren, falls verfügbar. Da die Spyware auf tiefe Systemberechtigungen zugreifen kann, sind möglicherweise Methoden erforderlich, die über Standard-Anti-Malware-Tools hinausgehen.
Dieser Vorfall zeigt, wie nachrichtenbasierte Infektionsvektoren wie DNG-Dateien mächtige Bedrohungen für mobile Benutzer darstellen können. Es unterstreicht auch die Risiken, wenn ein weit verbreitetes Gerät ins Fadenkreuz fortschrittlicher Spionagetools gerät. Für betroffene Benutzer muss der Fokus jetzt auf der Erkennung, Eindämmung und Behebung liegen.