Danny Weber
07:19 11-11-2025
© A. Krivonosov
Unit 42 enthüllt LandFall: Zero-Day-Spyware, die Samsung Galaxy S22–S24 und Z Fold über WhatsApp-Bilder kapert. CVE-2025-21042, Patch April 2025. Jetzt lesen.
Forschende des Teams Unit 42 von Palo Alto Networks haben eine groß angelegte Kampagne mit der Schadsoftware LandFall aufgedeckt, die im Laufe des vergangenen Jahres Samsung‑Galaxy‑Smartphones im Nahen Osten kompromittierte. Der Schadcode verbreitete sich über per WhatsApp verschickte Bilder und nutzte eine Zero‑Day‑Lücke in einer von Samsung entwickelten Android‑Bibliothek zur Bildverarbeitung aus. Die Erkenntnisse zeichnen das Bild einer stillen, aber äußerst effektiven Angriffsserie.
Der Exploit erlaubte es Angreifern, beliebigen Code auf dem Gerät auszuführen – faktisch die vollständige Übernahme. Einmal drin, öffnete LandFall den Zugriff auf persönliche Daten: von Fotos, Chats und Kontakten bis hin zum Mikrofon und sogar zum Standort in Echtzeit. Eine Interaktion war nicht nötig; bereits der Empfang eines präparierten Bildes genügte. Kaum etwas wirkt trügerischer als ein vermeintlich harmloses Foto im Chat.
Den Angaben zufolge begannen die Attacken im Juli 2024 und trafen die Modelle Galaxy S22, S23 und S24 sowie bestimmte Varianten des Galaxy Z Fold. Infektionen wurden in der Türkei, in Marokko, im Iran und im Irak beobachtet. Expertinnen und Experten bewerten LandFall als kommerzielle Spyware, die für gezielte Einsätze gegen bestimmte Personen verwendet wird – die Auswahl der Opfer spricht eher für präzise Operationen als für Streuung.
Die Schwachstelle, katalogisiert als CVE‑2025‑21042, wurde mit dem Sicherheitsupdate vom April 2025 geschlossen. Neueste Modelle, darunter das Galaxy S25, sind nicht betroffen. Wenn ein Alltagsfoto zum Einfallstor werden kann, wird Bequemlichkeit zum größten Risiko – ein klarer Hinweis, Sicherheitsupdates zügig zu installieren, selbst wenn das Telefon keine umfassenden System‑Upgrades mehr erhält.