Das Cybersicherheitsunternehmen Unit 42 hat eine Spyware-Kampagne auf Samsung Galaxy-Geräten entdeckt, die eine Zero-Day-Schwachstelle ausnutzt, um über via WhatsApp versendete Bilder in die Telefone einzudringen.
Sicherheitsforscher warnen davor, dass die Operation seit Mitte 2024 aktiv ist und Angreifern dabei hilft, hochentwickelte Android-Malware einzusetzen, die eine vollständige Geräteüberwachung ohne Benutzerinteraktion ermöglicht.
Die Operation wurde von den Cybersicherheitsforschern als LANDFALL bezeichnet und im September nach einer Untersuchung entdeckt, die Mitte 2025 mit der Analyse von iOS-Exploit-Samples begann.
Die Malware LANDFALL befällt Android-Samsung-Geräte
Laut dem Untersuchungsbericht von Unit 42 veröffentlicht wurde , war die Android-spezifische Malware in den iOS-Proben enthalten, die in digitalen Negativdateien (DNG) versteckt waren.
Einige Besitzer von Samsung Galaxy-Handys berichteten, dass sie WhatsApp-ähnliche Namen wie „IMG-20240723-WA0000.jpg“ gesehen hätten, die zwischen Juli 2024 und Anfang 2025 von Orten wie Marokko, Iran, Irak und der Türkei auf VirusTotal hochgeladen wurden.
LANDFALL nutzt eine Sicherheitslücke namens „CVE-2025-21042“ aus, eine Schwachstelle in Samsungs Bildverarbeitungsbibliothek libimagecodec.quram.so . CVE-2025-12725 ist ebenfalls ein Schreibfehler außerhalb des zulässigen Speicherbereichs in WebGPU, der Grafikkomponente des Google-Browsers Chrome.
Die Sicherheitslücke wurde im April 2025 nach Berichten über aktive Ausnutzung geschlossen , gemeinsam genutzte Objektbibliotheken (.so) zu extrahieren und auszuführen, die die trac auf den Geräten installierten.
Laut dem Bericht von Unit 42 aktiviert die Spyware Mikrofone zur Aufnahme, tracNutzer per GPS und stiehlt unauffällig Informationen wie Fotos, Kontakte, Anruflisten und Nachrichten. Betroffen sind Samsung Galaxy Modelle der Serien S22, S23, S24 und Z, insbesondere solche mit den Android-Versionen 13, 14 und 15.
Die Zero-Day-Schwachstelle betrifft auch das Parsen von DNG-Bildern auf Apple iOS . WhatsApp-Entwickler entdeckten, dass Angreifer die Apple-Schwachstelle mit der genannten Schwachstelle verknüpften, um Geräte zur Verarbeitung von Inhalten von bösartigen URLs zu zwingen.
Der zweite Teil von LANDFALL, genannt b.so, verbindet sich über HTTPS und einen temporären, nicht standardmäßigen TCP-Port mit seinem Command-and-Control-Server (C2). Die Schadsoftware kann Ping-Signale senden, um zu prüfen, ob der Server erreichbar ist, bevor der verschlüsselte Datenverkehr beginnt. Dies wird im technischen Anhang des Berichts erläutert.
Sobald die HTTPS-Verbindung aktiv ist, sendet b.so eine POST-Anfrage mit detaillierten Informationen über das infizierte Gerät und die Spyware-Instanz, einschließlich der Agenten-ID, des Gerätepfads und der Benutzer-ID.
Im September meldete WhatsApp eine ähnliche Sicherheitslücke (CVE-2025-21043) an Samsung. Das Unternehmen warnte seine Nutzer davor, dass bösartige Nachrichten Schwachstellen im Betriebssystem ausnutzen
„Unsere Untersuchung deutet darauf hin, dass Ihnen möglicherweise eine schädliche Nachricht über WhatsApp zugesendet wurde, die mit anderen Sicherheitslücken in Ihrem Betriebssystem in Verbindung gebracht wird“, so Meta in einem Sicherheitsupdate. „Obwohl wir nicht mit Sicherheit wissen, ob Ihr Gerät kompromittiert wurde, wollten wir Sie vorsichtshalber informieren.“
Letzte Woche berichtete die Zeitung „The Peninsula“, dass die Kampagne auf staatlich gesteuerte Spionagesoftware auf Mobilgeräten im Nahen Osten tracwerden könnte. Pegasus von NSO Group, Predator von Cytox/Intellixa und FinFisher FinSpy von Gamma werden seit Langem mit ähnlichen Angriffen in Verbindung gebracht.
Google stellt Updates bereit, um einer Zero-Day-Sicherheitslücke entgegenzuwirken
Laut einem früheren Google-Bericht waren diese Akteure zwischen 2014 und 2023 für fast die Hälfte aller Zero-Day-Schwachstellen in Google-Produkten verantwortlich. Letzten Monat untersagte ein US-Bundesgericht der israelischen NSO Group, WhatsApp durch Reverse Engineering zu analysieren, um Spyware zu verbreiten.
„Unternehmen wie WhatsApp ‚verkaufen‘ unter anderem die informationelle Privatsphäre, und jeder unberechtigte Zugriff stellt einen Eingriff in diesen Verkauf dar“, sagte die US-Bezirksrichterin Phyllis Hamilton in ihrem Urteil.
Die Technologiekonzerne veröffentlichten letzte Woche Chrome Version 142, um fünf kritische Sicherheitslücken zu schließen, von denen drei laut Herstellerangaben als „hochriskant“ eingestuft wurden. Das Update wurde über Google Play für Desktop-Plattformen und Android-Geräte bereitgestellt.
CVE-2025-12727 betrifft die JavaScript-Engine V8 von Chrome, die für die Leistungsausführung verantwortlich ist, während CVE-2025-12726 den Benutzeroberflächenmanager Chrome Views des Browsers betrifft.
Cybersicherheitsexperten fordern Samsung Galaxy-Nutzer nun dringend auf, das Sicherheitsupdate vom April 2025 umgehend zu installieren, um die Sicherheitslücke CVE-2025-21042 zu schließen.
