Unit 42 entdeckte Samples einer bisher unbekannten Spyware-Variante und nannte sie „LANDFALL“. Diese Samples waren in fehlerhaft formatierten DNG-Bilddateien (Digital Negative) enthalten, an die ein ZIP-Archiv angehängt war. Eine Payload (die Spyware) wurde extrahiert und ausgeführt, sobald eine anfällige Samsung-Bildbibliothek das Bild analysierte.  

Aus den Metadaten der Einsendungen und den IP-Adressen geht hervor, dass es sich bei der Kampagne nicht um weit verbreitete Massen-Malware handelt, sondern um eine gezielte Aktion. Die Opfer scheinen sich auf Teile des Nahen Ostens (Marokko, Iran, Irak, Türkei usw.) zu konzentrieren.  

 Die Sicherheitslücke (der technische Kern)  

Probleme mit Schreibvorgängen außerhalb des zulässigen Bereichs in der Samsung-Bildverarbeitungsbibliothek libimagecodec.quram.so führen zur Ausführung von beliebigem Remote-Code. Dieser Fehler erhielt eine hohe Schweregradbewertung und wurde mit CVE-2025-21042 (CVSS 8.8) versehen. Diese Schwachstelle bedeutet, dass ein fehlerhaftes Bild verwendet werden kann, um ein Gerät zur Ausführung von beliebigem Code zu bringen.  

Ein ZIP-Archiv war in das DNG-Bild eingebettet, und wenn der anfällige Parser das Bild falsch verarbeitete, extrahierte und führte er Code aus den im Archiv enthaltenen Shared-Library-Dateien (.so) aus. Auf diese Weise wurde LANDFALL freigegeben und ausgeführt.  

 Übertragungsmethode – warum dies gefährlich war  

Die bösartigen DNG-Dateien wurden wahrscheinlich über WhatsApp versendet (Unit 42 wies darauf hin, dass das Angriffsmuster früheren Zero-Click-Bild-Exploits ähnelte). Die Schwachstelle beim Parsen des Bildes bedeutete, dass der Exploit Zero-Click war (das Opfer musste nicht mit dem Bild interagieren), wenn der Messenger oder das Smartphone das Bild automatisch parste oder eine Miniaturansicht generierte.

Das macht ihn heimlich und mächtig.  

 Was LANDFALL leisten kann (Fähigkeiten)  

Berichte von Unit 42 und anderen zeigen, dass LANDFALL umfassende Überwachungsfunktionen bot, ähnlich wie kommerzielle Spyware:  

Zugriff auf Fotos, Dateien, Kontakte und Anrufprotokolle.  

Aufzeichnung von Audio über das Mikrofon.  

Meldung des genauen Standorts (GPS).  

Daten an vom Angreifer kontrollierte Command-and-Control-Server zurücksenden.

Die hier beschriebenen Überwachungsfunktionen sind bezeichnend für die sogenannten „kommerziellen“ Fähigkeiten von LANDFALL.  

Betroffene Geräte  

Die Telemetriedaten von Unit 42 zeigen, dass mehrere Modelle von Samsung Galaxy-Smartphones betroffen sind. In den Berichten wurden insbesondere die Serien Galaxy S22, S23 und S24 sowie das Z Fold 4 und das Z Flip 4 als einige der Fold- und Flip-Modelle genannt. Die Sicherheitslücke betraf mehrere Versionen der Bildverarbeitungsbibliothek von Samsung und blieb ungeschlossen, bis Samsung einen Patch veröffentlichte.  

 Aktivitätszeitachse und Schließen der Sicherheitslücken  

Dem Bericht von Unit 42 zufolge begann die Analyse der LANDFALL-Aktivitäten Mitte 2024, wobei Proben im Jahr 2024 und Anfang 2025 erfasst und auf VirusTotal hochgeladen wurden.  

Im Jahr 2025 veröffentlichte Samsung einen Patch für CVE-2025-21042. Wie von Unit 42 angemerkt, wurde die Schwachstelle tatsächlich im April 2025 von Samsung behoben. CVE-2025-21043, eine weitere damit verbundene Schwachstelle in derselben Bibliothek, wurde anschließend behoben. Alle Geräte, die nach diesen Patches aktualisiert wurden, sollten nicht mehr für diesen spezifischen Exploit anfällig sein.  

 Zuschreibung  

Die Einstufung von LANDFALL als „kommerziell“ durch Unit 42 deutet darauf hin, dass es sich wahrscheinlich um Malware handelt, die von einem Überwachungsanbieter und/oder verkauft wurde, nicht von einem einfachen Cyberkriminellen. Dennoch gab es bisher keine öffentliche Zuordnung oder Nennung des Unternehmens oder Staates, der an den Angriffen beteiligt war. Es ist üblich, dass Forscher sich bei der Zuordnung zurückhalten, sofern sie nicht über stichhaltige Beweise verfügen.

 Mögliche Indikatoren für eine Kompromittierung (IoCs) und relevante Beweise

Bei der Geräteforensik können Sie auf fehlerhafte DNG-Bilddateien stoßen, an die ZIP-Abschnitte angehängt wurden. 

Möglicherweise gibt es auch ausgehende Verbindungen zu verdächtigen IP-Adressen oder Domains für Command-and-Control, die im Anhang von Unit 42 aufgeführt sind. 

Möglicherweise gibt es auch unerwartete Aufzeichnungen über die Mikrofonnutzung, neue Binärdateien oder gemeinsam genutzte Bibliotheken im App-Speicher sowie Unstimmigkeiten innerhalb von Apps hinsichtlich ungewöhnlicher Akku- oder Datennutzung. 

Die genauen IP-Adressen, Hashes und Dateinamen finden Sie im technischen Anhang von Unit 42. Auch die YARA-Regeln im Bericht enthalten diese Informationen. 

 Abwehr und Erkennung (praktische Schritte) 

Um Risiken zu minimieren, müssen alle Nutzer (Smartphone-Nutzer/normale Nutzer) folgende Schritte unternehmen: 

Aktualisieren Sie Ihr Smartphone. Installieren Sie die Samsung-/Android-Sicherheitsupdates, die den von LANDFALL ausgenutzten Fehler beheben (Stand: April 2025). Durch dieses Update beseitigen Sie die betreffende Sicherheitslücke. 

Öffnen Sie keine Bilder von unbekannten Absendern. Auch wenn es sich um einen Zero-Click-Angriff handeln könnte, speichern oder betrachten Sie keine nicht vertrauenswürdigen Bilder und löschen Sie verdächtige Dateien. 

Nutzen Sie offizielle App-Stores und stellen Sie sicher, dass Apps (einschließlich Messaging-Apps) regelmäßig aktualisiert werden.

Wenn Sie den Verdacht haben, dass Ihr Gerät kompromittiert wurde (ungewöhnliches Verhalten, schneller Batterieverbrauch oder unerklärliche Mehrkosten für Datenvolumen), führen Sie nach dem Sichern Ihrer wichtigsten Dateien einen Werksreset durch und ändern Sie alle wichtigen Passwörter auf einem anderen Gerät. Wenn Sie glauben, dass Sie ein Hochrisikoziel sind, sollten Sie professionelle Hilfe in Anspruch nehmen.  

Für Unternehmen/Sicherheitsteams:  

Bewerten und installieren Sie Samsung-Sicherheitspatches so schnell wie möglich und überprüfen Sie den Patch-Status auf allen verwalteten Geräten.  

Implementieren Sie eine Bedrohungserkennung für mobile Geräte/EDR und suchen Sie nach den im Unit 42-Bericht aufgeführten Datei-Artefakten und Verhaltensanomalien.  

Überprüfen Sie die Telemetriedaten auf die IoC-Domains/IPs und wenden Sie entsprechende Sperrmaßnahmen an.  

Wenn Sie verdächtige Aktivitäten beobachten, teilen Sie die IoCs mit Ihren Incident-Response-Teams und den nationalen CSIRTs.  

Wie ernst ist die Lage? (Risikobewertung)  

Technisch gesehen ist die Situation ernst: Die Kombination aus Zero-Day, Zero-Click und vollständiger Überwachung hat erhebliche Auswirkungen auf die betroffenen Personen.  

Praktisch begrenzt: Dies liegt daran, dass es in gezielten Kampagnen eingesetzt wurde und es sich nicht um einen weit verbreiteten Massenausspionierungsausbruch handelt. Da Patches für diese Schwachstelle im April 2025 veröffentlicht wurden, ist das unmittelbare Risiko für Nutzer mit aktualisierten Geräten gering. Geräte, die nicht gepatcht oder älter sind, bleiben jedoch gefährdet.