Eine Zero-Day-Schwachstelle in Samsung-Smartphones wurde kürzlich aufgedeckt und von einer ausgeklügelten Spionagesoftware ausgenutzt. Entdeckt von Cybersicherheitsforschern, nutzte diese Malware Bilder, die über WhatsApp gesendet wurden, um in die Geräte der Nutzer einzudringen. Hier ist, was Sie über diese nun behobene Bedrohung wissen müssen.
Die 3 wichtigsten Informationen
- LANDFALL nutzte eine Zero-Day-Schwachstelle in Samsung-Smartphones über WhatsApp-Bilder aus.
- Die Schwachstelle ermöglichte eine Remote-Code-Ausführung und gewährte vollständigen Zugriff auf die Geräte.
- Samsung hat die Schwachstelle im April 2025 behoben und damit die Auswirkungen der Spionagesoftware begrenzt.
Die Entdeckung von LANDFALL durch Einheit 42
Forscher der Einheit 42 von Palo Alto Networks identifizierten eine Spionagesoftware-Kampagne, die Samsung-Nutzer im Nahen Osten ins Visier nahm. Dieser Angriff nutzte eine Schwachstelle in der Bildverarbeitungsbibliothek von Samsung aus, die den Angreifern vollständigen Zugriff auf die Smartphones ermöglichte.
Die Schwachstelle, die unter dem Code CVE-2025-21042 aufgeführt ist, ermöglichte es dieser Bedrohung, sich über mehrere Monate hinweg unbemerkt zu verbreiten, bevor sie von Samsung behoben wurde.
Angriffsmechanismus durch .DNG-Dateien
Der LANDFALL-Angriff begann mit dem Versand einer modifizierten .DNG-Datei über WhatsApp. Diese Datei enthielt ein ZIP-Archiv, das beim Öffnen ein Skript ausführte. Dieses lud dann zusätzliche Komponenten auf das Zielgerät herunter.
Unter diesen Komponenten passte ein SELinux-Manipulator die Sicherheitseinstellungen an, um einen verlängerten Zugriff der Spionagesoftware auf das System zu gewährleisten.
Die Fähigkeiten von LANDFALL
LANDFALL ist mit fortschrittlichen Funktionen ausgestattet, die es ihm ermöglichen, detaillierte Informationen über das Gerät zu sammeln. Es kann Gespräche aufzeichnen, auf Fotos, SMS, Kontakte und den Browserverlauf zugreifen. Darüber hinaus ist es in der Lage, die Standorte der Nutzer zu verfolgen.
Diese Spionagesoftware wurde auch entwickelt, um eine Erkennung zu vermeiden, was sie besonders heimtückisch macht. Ihre Persistenz im System ermöglicht es ihr, auch nach Neustarts aktiv zu bleiben.
Ursprünge und Ähnlichkeiten mit anderen Spionagesoftwares
Obwohl die Infrastruktur von LANDFALL Ähnlichkeiten mit anderen Operationen wie denen von Stealth Falcon aufweist, konnten die Forscher keine direkte Verbindung zu bekannten Spionagesoftwareunternehmen wie NSO Group oder Cytrox herstellen.
Diese Beobachtungen deuten auf einen möglichen Ursprung in den Vereinigten Arabischen Emiraten hin, aber die genauen Verantwortlichen dieser Kampagne bleiben unbekannt.
Kontext von Samsung und seinen Sicherheitslücken
Samsung, einer der weltweit führenden Anbieter auf dem Smartphone-Markt, sah sich im Laufe der Jahre mit mehreren Sicherheitsherausforderungen konfrontiert. Zero-Day-Schwachstellen, wie die von LANDFALL ausgenutzte, stellen eine ernsthafte Bedrohung für die Nutzer dar und unterstreichen die Bedeutung regelmäßiger Updates zum Schutz der Geräte.
Um diesen Bedrohungen zu begegnen, verpflichtet sich Samsung, die Sicherheit seiner Produkte kontinuierlich zu verbessern und eng mit Cybersicherheitsforschern zusammenzuarbeiten, um Schwachstellen schnell zu identifizieren und zu beheben.
