Samsung Galaxy: Monate unter Beschuss durch unsichtbare Spionage-Software

Samstag, 08. November 2025 – Eine hochentwickelte Spionage-Kampagne hat monatelang eine bislang unbekannte Schwachstelle in Samsung-Smartphones ausgenutzt. Die Enthüllung liest sich wie ein Techno-Thriller: Ein einziges manipuliertes Bild via WhatsApp reichte aus, um die volle Kontrolle über Top-Modelle der Galaxy-Serie zu erlangen – ohne dass die Nutzer auch nur etwas anklicken mussten.

Die Sicherheitsforscher von Palo Alto Networks deckten diese Woche eine Angriffswelle auf, die seit Mitte 2024 aktiv war. Die kommerzielle Spionage-Software namens „Landfall” infiltrierte gezielt Geräte im Nahen Osten, darunter in der Türkei, im Iran, Irak und in Marokko. Samsung hat die kritische Lücke mittlerweile geschlossen – doch der Vorfall wirft grundsätzliche Fragen zur Smartphone-Sicherheit auf.

Was die Attacke besonders gefährlich macht: Die Opfer mussten nicht einmal eine verdächtige Datei öffnen. Die bloße Zustellung eines präparierten Bildes genügte, um die Spionage-Software zu installieren.

Der unsichtbare Angriff über WhatsApp

Die Schwachstelle mit der Kennung CVE-2025-21042 steckte tief in einer Samsung-Bibliothek zur Bildverarbeitung. Die Angreifer versteckten ihre Schadsoftware in speziell manipulierten DNG-Bilddateien – ein Rohdatenformat, das vor allem Profifotografen nutzen. Getarnt als harmlose JPEGs, lösten diese Dateien beim Empfang automatisch die Sicherheitslücke aus.

Apropos WhatsApp-Exploits – wenn bereits das Empfangen eines Bildes ausreicht, um ein Gerät zu kompromittieren, sind einfache Schutzmaßnahmen Gold wert. Ein kostenloses Sicherheitspaket erklärt die 5 wichtigsten Schutzmaßnahmen für Android-Smartphones mit klaren Schritt-für-Schritt-Anleitungen für WhatsApp, Update-Checks und App-Prüfungen. So schließen Sie die häufigsten Lücken, bevor Angreifer sie ausnutzen. Jetzt kostenloses Android-Sicherheitspaket herunterladen

Die betroffenen Modelle lesen sich wie eine Liste der Samsung-Flaggschiffe: Galaxy S22, S23 und S24 sowie die faltbaren Modelle Z Fold4 und Z Flip4. Sobald WhatsApp oder ein anderer Messenger das Bild empfing, griff die fehlerhafte Samsung-Komponente „libimagecodec.quram.so” zu – und öffnete den Angreifern Tür und Tor.

Der versteckte ZIP-Anhang in den Bilddateien enthielt die eigentliche Schadsoftware. Einmal aktiviert, verwandelte sich das Smartphone in ein umfassendes Überwachungswerkzeug. Landfall konnte Gespräche über das Mikrofon aufzeichnen, Anrufe mitschneiden, die Position des Geräts tracken und praktisch alle persönlichen Daten abgreifen: Fotos, Kontakte, Anruflisten, SMS und gespeicherte Dateien.

Kommerzielle Spionage-Industrie am Werk

Die Forscher ordnen Landfall der wachsenden Branche kommerzieller Überwachungssoftware zu – ein Milliardenmarkt, in dem private Unternehmen Spionage-Werkzeuge an Regierungen verkaufen. Die Analyse der Server-Infrastruktur offenbart mögliche Verbindungen zu Stealth Falcon, einer Hackergruppe mit engen Verbindungen zu den Vereinigten Arabischen Emiraten.

Auch das in Barcelona ansässige Unternehmen Variston könnte involviert sein. Die Firma beliefert Berichten zufolge Regierungskunden mit Überwachungstechnologie. Dieser Sektor, in Fachkreisen als „Private Sector Offensive Actor” (PSOA) bezeichnet, steht seit Jahren in der Kritik: Die Werkzeuge werden offiziell zur Terrorbekämpfung entwickelt, landen aber immer wieder in den Händen autoritärer Regime.

Samsung erhielt die Information über die Schwachstelle bereits vor der Veröffentlichung des Patches im April 2025. Doch zwischen Entdeckung und Behebung vergingen Monate – ein typisches Problem im Katz-und-Maus-Spiel zwischen Herstellern und gut finanzierten Angreifern.

Bildverarbeitung als Einfallstor

Der Landfall-Angriff reiht sich in ein besorgniserregendes Muster ein. Immer häufiger nutzen Angreifer Schwachstellen in Bildverarbeitungs-Bibliotheken aus – jenen komplexen Softwarekomponenten, die im Hintergrund jedes empfangene Foto oder Bild verarbeiten.

Apple musste im August 2025 eine ähnliche Zero-Day-Lücke (CVE-2025-43300) stopfen, die ebenfalls über DNG-Bilder ausgenutzt wurde. Im selben Monat bestätigte WhatsApp eine Sicherheitslücke, die in Kombination mit dem Apple-Fehler iOS-Geräte kompromittierte. Samsung selbst schloss im September 2025 eine weitere Schwachstelle (CVE-2025-21043) in derselben Bildverarbeitungs-Bibliothek – auch diese wurde bereits aktiv angegriffen.

Was bedeutet das für Nutzer? Die ständige Flut an Bildern und Medien, die wir täglich empfangen, macht Smartphones zu lohnenden Zielen. Bildverarbeitungs-Software ist komplex und fehleranfällig – eine perfekte Kombination für Angreifer, die nach Zero-Click-Exploits suchen.

Was Nutzer jetzt tun sollten

Die akute Gefahr durch CVE-2025-21042 ist gebannt – zumindest für alle, deren Geräte auf dem neuesten Stand sind. Das April-2025-Update von Samsung enthält den notwendigen Patch. Besitzer der betroffenen Modelle sollten unter Einstellungen > Software-Update prüfen, ob ihr Gerät aktuell ist.

Doch die Landfall-Kampagne zeigt die Grenzen individueller Vorsicht auf. Selbst technisch versierte Nutzer können kaum etwas gegen Zero-Click-Angriffe ausrichten. Die Verantwortung liegt klar bei den Herstellern und App-Entwicklern: Sie müssen Schwachstellen schneller identifizieren und schließen.

Der Rat der Sicherheitsexperten bleibt eindeutig: Updates sofort installieren, sobald verfügbar. Alle erweiterten Sicherheitsfunktionen des Herstellers aktivieren. Und wachsam bleiben – auch wenn es nur ein harmloses Bild zu sein scheint.

Die kommerzielle Spionage-Industrie wird weitermachen. Die nächste Schwachstelle in Bildverarbeitungs-Software ist vermutlich bereits in Arbeit.

PS: Viele Nutzer übersehen einfache Einstellungen, die das Risiko deutlich senken – von automatischen Update-Prüfungen bis zur Kontrolle von Dateitypen in Messengern. Fordern Sie das kostenlose Sicherheitspaket an und erfahren Sie, welche 5 Maßnahmen Ihr Android-Smartphone sofort sicherer machen. Gratis-Sicherheitspaket für Android anfordern