Samsung Galaxy: Spyware-Skandal erschüttert Millionen Nutzer

Eine hochentwickelte Spionage-Kampagne hat Samsung-Smartphones über Monate hinweg kompromittiert – ohne dass die Nutzer etwas davon bemerkt hätten. Die US-Sicherheitsbehörde CISA schlägt Alarm und ordnet sofortige Schutzmaßnahmen an. Was steckt hinter der “LANDFALL”-Attacke?

Sicherheitsforscher von Palo Alto Networks haben eine kritische Sicherheitslücke in Samsung Galaxy-Smartphones aufgedeckt, die seit Mitte 2024 aktiv für Spionagezwecke ausgenutzt wurde. Die Schwachstelle mit der Bezeichnung CVE-2025-21042 ermöglichte Angreifern die vollständige Kontrolle über betroffene Geräte – und zwar völlig ohne Zutun der Besitzer.

Die Methode ist so perfide wie effektiv: Kriminelle verschickten manipulierte Bilddateien über Messenger-Dienste wie WhatsApp. Allein der Empfang dieser Dateien reichte aus, um das Gerät zu infizieren. Die Opfer mussten das Bild nicht einmal öffnen. Ein digitaler Albtraum, der die Verletzlichkeit moderner Smartphones in neuer Dimension offenbart.

Die LANDFALL-Attacke (CVE-2025-21042) macht deutlich, wie gefährlich automatische Bildverarbeitung und automatische Downloads in Messengern sind: Schon der reine Empfang einer präparierten DNG-Datei konnte Geräte übernehmen. Das kostenlose Sicherheitspaket „Die 5 wichtigsten Schutzmaßnahmen für Ihr Android‑Smartphone“ erklärt Schritt für Schritt, wie Sie automatische Mediendownloads deaktivieren, Update‑Checks durchführen und Ihr Gerät grundlegend härten. Gratis per E‑Mail – praxisnah und sofort umsetzbar. Jetzt kostenloses Android-Sicherheitspaket herunterladen

Die Liste der kompromittierten Modelle liest sich wie ein Best-of der Samsung-Produktpalette. Betroffen sind die beliebten Galaxy S22-, S23- und S24-Serien sowie die Premium-Falthandys der Z Fold- und Z Flip-Reihe. Millionen Nutzer weltweit verwenden diese Geräte täglich – meist ohne zu ahnen, dass sie potenziell ausspioniert werden könnten.

Die Schwachstelle steckte tief im System: in einer Bibliothek zur Bildverarbeitung namens libimagecodec.quram.so. Diese Software verarbeitet eingehende Bilder automatisch im Hintergrund. Genau diese Funktion machten sich die Angreifer zunutze, indem sie speziell präparierte DNG-Bilddateien (Digital Negative) als Trojaner einsetzten.

Mit einem Schweregrad von 9,8 von 10 möglichen Punkten gehört die Lücke zur höchsten Gefahrenkategorie. Die US-Cybersicherheitsbehörde CISA hat die Schwachstelle am 10. November in ihren Katalog aktiv ausgenutzter Sicherheitslücken aufgenommen – ein deutliches Signal an die Ernsthaftigkeit der Lage.

Was kann die Spyware alles?

Die Fähigkeiten der “LANDFALL” getauften Spionagesoftware sind erschreckend umfassend. Nach erfolgreicher Installation verwandelt sich das Smartphone in eine mobile Überwachungszentrale – komplett unter fremder Kontrolle.

Die Software zeichnet Gespräche über das Mikrofon auf, verfolgt jeden Schritt des Nutzers via GPS und saugt systematisch persönliche Daten ab. Fotos, Anruflisten, Kontakte, SMS-Nachrichten und der Browser-Verlauf – alles wird an die Hintermänner übermittelt. Eine digitale Totalüberwachung aus der Hosentasche.

Besonders beunruhigend: Die Angriffsmuster deuten auf professionelle Auftragsarbeit hin. Sicherheitsexperten vermuten dahinter sogenannte “Private Sector Offensive Actors” – Unternehmen, die Überwachungstechnologie an Regierungen verkaufen. Die Spuren führen zu Zielen im Irak, Iran, der Türkei und Marokko. Ein Spionagekrimi, der bisher unter dem Radar lief.

Behörden-Alarm und Handlungsdruck

Die CISA hat die Situation als so kritisch eingestuft, dass sie eine rechtlich bindende Anweisung für alle US-Bundesbehörden erlassen hat. Bis zum 1. Dezember 2025 müssen betroffene Geräte aktualisiert oder außer Betrieb genommen werden. Eine solche Direktive ist selten und unterstreicht den Ernst der Lage.

Doch die Warnung richtet sich nicht nur an Behörden. “Mobile Geräte sind heute die primären Produktions- und Identitätsplattformen”, erklärt Heath Renfrow von Fenix24. Die LANDFALL-Kampagne zeige ein “ausgereiftes, kommerzielles Mobile-Bedrohungs-Ökosystem mit echter operativer Expertise”. Anders gesagt: Smartphones sind das neue Hauptziel für Spionageangriffe geworden.

Die Sicherheitslücke wurde zwar bereits im April 2025 von Samsung geschlossen, doch viele Nutzer haben das Update möglicherweise noch nicht installiert. Genau hier liegt das Problem: Zwischen Patch-Veröffentlichung und tatsächlicher Installation klafft oft eine gefährliche Zeitlücke.

Bloatware-Problem im größeren Kontext

Die LANDFALL-Affäre ist nur die Spitze des Eisbergs. Bereits Anfang 2025 sorgte die Menschenrechtsorganisation SMEX für Aufsehen mit einem offenen Brief zu vorinstallierter Software auf Samsung-Geräten. Die App “AppCloud”, entwickelt vom israelischen Unternehmen ironSource, sammelte auf A- und M-Serie-Smartphones in Westasien und Nordafrika sensible Daten – ohne klare Nutzereinwilligung oder transparente Datenschutzrichtlinien.

Das Pikante daran: Diese Apps lassen sich nicht deinstallieren. Nutzer werden faktisch gezwungen, Software auf ihren Geräten zu dulden, über deren Funktion und Datenhunger sie im Unklaren bleiben. Ein Kontrollverlust, der bei vielen Besitzern für Unmut sorgt.

Die südkoreanische Kommunikationsaufsicht KCC nahm im Juni 2025 sogar offizielle Ermittlungen auf. Dabei ging es um 187 vorinstallierte Apps auf Samsung- und Apple-Geräten, die sich nicht entfernen lassen. Der Verdacht: Verstoß gegen das Telekommunikationsgesetz durch Einschränkung der Nutzerautonomie.

So schützen Sie sich jetzt

Die wichtigste Maßnahme ist simpel, aber entscheidend: Software-Updates installieren. Der Patch für CVE-2025-21042 ist seit dem April-Sicherheitsupdate verfügbar. Samsung-Nutzer sollten unter Einstellungen → Software-Update → Herunterladen und installieren prüfen, ob ihr Gerät auf dem neuesten Stand ist.

Zusätzlich empfehlen Sicherheitsexperten eine weitere Vorsichtsmaßnahme: Deaktivieren Sie in Messenger-Apps die automatische Mediendownload-Funktion. Damit verhindern Sie, dass potentiell gefährliche Dateien stillschweigend auf Ihr Gerät geladen werden. Ein kleiner Umweg beim Öffnen von Bildern ist ein geringer Preis für mehr Sicherheit.

Die LANDFALL-Entdeckung reiht sich ein in eine Serie ähnlicher Schwachstellen bei der Bildverarbeitung. Erst kürzlich mussten auch Apple und WhatsApp vergleichbare Lücken schließen. Ein Muster zeichnet sich ab: Die Verarbeitung von Medieninhalten wird zur digitalen Achillesferse moderner Smartphones.

Hersteller stehen damit vor einer doppelten Herausforderung. Schnelles Patchen allein reicht nicht mehr. Gefordert sind mehr Transparenz bei vorinstallierter Software und echte Nutzerkontrollen. Die Grenze zwischen praktischer Funktion und potentieller Sicherheitslücke verschwimmt zusehends – und Verbraucher wie Regulierer werden genau hinsehen, wie die Industrie darauf reagiert.

PS: Viele Samsung- und Android-Nutzer haben den April-Patch noch nicht installiert – genau diese Verzögerung macht Angriffe wie LANDFALL möglich. Dieses kompakte Sicherheitspaket zeigt in Checklistenform, wie Sie automatische Mediendownloads in WhatsApp & Co. deaktivieren, Update‑Status prüfen und gefährliche Dateien erkennen. Kostenlos per E‑Mail und sofort umsetzbar. Sicherheits-Paket für Android anfordern