Die harmloseste Datei auf Ihrem Telefon – ein digitales Foto – entpuppte sich fast ein Jahr lang als Trojanisches Pferd. Ein leistungsstarkes, kommerzielles Überwachungstool namens LANDFALL nutzte erfolgreich eine geheime Schwachstelle in Samsung-Galaxy-Handys aus und ermöglichte es Hackern, die vollständige Kontrolle zu erlangen, indem sie einfach ein bösartiges Bild verschickten.
Samsung hat die zentrale Zero-Day-Schwachstelle (CVE-2025-21042) in der Bildverarbeitungsbibliothek des Galaxy im April 2025 gepatcht. Sicherheitsforscher bestätigten jedoch, dass die gezielten Angriffe bereits im Juli 2024 aktiv waren. Im Verhältnis zu seiner Schwere handelte es sich um einen wirklich einfachen Angriff. Der Fehler war tief in der Fotoverarbeitungskomponente des Galaxy versteckt und wartete darauf, dass eine bösartige DNG-Bilddatei ihn auslöste.
Der Fehler im Samsung Galaxy S-Telefon ermöglichte eine vollständige Überwachung durch LANDFALL-Spyware
Angeblich schickten Angreifer den Opfern eine beschädigte DNG-Datei, oft getarnt mit gebräuchlichen Namen wie „WhatsApp-Bild…“. Diese Datei enthielt ein eingebettetes ZIP-Archiv. Die Exploit-Kette zwang das Telefon dann dazu, LANDFALL zu entpacken und auszuführen, oft ohne dass der Benutzer überhaupt mit dem Bild interagieren musste. Ja, es handelte sich um einen „Zero-Click“-Angriff, der den Verdacht der Benutzer umgehen konnte.
Nach der Aktivierung verwandelte LANDFALL das Ziel-Samsung-Telefon in eine totale Spionagemaschine. Es war in der Lage, sensible Daten zu sammeln: das Mikrofon aufzuzeichnen, den Standort zu verfolgen und Fotos, Kontakte, SMS und Anrufprotokolle zu stehlen. Die Spyware zielte speziell auf High-End-Flaggschiffe ab, darunter die Serien Galaxy S22, S23 und S24. Betroffen waren auch verschiedene Z Fold- und Z Flip-Modelle. Forscher verfolgten die Angriffe auf Einzelpersonen im Nahen Osten, insbesondere im Irak, im Iran, in der Türkei und in Marokko.
Das professionelle Niveau von LANDFALL lässt auf die Entwicklung durch einen erfahrenen Anbieter schließen. Die Analyse der Infrastruktur der Spyware ergab interessante Überschneidungen mit einer berüchtigten Überwachungsgruppe namens Stealth Falcon. Diese Gruppe hatte in der Vergangenheit Verbindungen zur Spionage auf Landesebene.
Es scheint, dass die Angriffskette Teil eines umfassenderen Trends war. Ein ähnlicher DNG-Bildfehler wurde kürzlich auch auf iOS-Geräten ausgenutzt.
