Landfall-Spyware nutzte Zero-Day-Schwachstelle aus, um Samsung-Smartphones zu hacken
Das Cybersicherheitsteam Unit 42 von Palo Alto Networks entdeckte eine gefährliche Spyware namens Landfall, die eine Zero-Day-Schwachstelle in Samsung Galaxy-Smartphones ausnutzte. Die Hacking-Kampagne dauerte fast ein Jahr, beginnend im Juli 2024, und blieb bis April 2025 unbemerkt.
Was bekannt ist
Der Angriff wurde durch das Senden eines speziell gestalteten Bildes durchgeführt, höchstwahrscheinlich über eine Messaging-App. Eine Geräteinfektion erfolgte ohne Benutzereingriff - es reichte einfach aus, das Bild zu erhalten. Der Schwachstelle wurde der Code CVE-2025-21042 zugewiesen und sie betraf Android-Versionen 13–15.
Laut Itai Cohen von Unit 42 wurde Landfall in "gezielten Angriffen" gegen Einzelpersonen eingesetzt, vermutlich für politische Spionage. Die meisten Fälle wurden in Marokko, Iran, Irak und der Türkei registriert. Das türkische Cyberteam USOM bestätigte das Vorhandensein verdächtiger IP-Adressen, die mit Landfall in Verbindung stehen.
Forscher stellten fest, dass die Infrastruktur von Landfall Ähnlichkeiten mit dem bekannten Spyware-Anbieter Stealth Falcon aufweist, der zuvor Journalisten und Aktivisten im Nahen Osten angegriffen hatte. Derzeit gibt es jedoch keine klaren Beweise für die Beteiligung einer bestimmten Regierungsstruktur.
Landfall zielte auf Geräte wie das Galaxy S22, S23, S24 sowie bestimmte Modelle der Fold- und Flip-Serie ab. Die Software hatte vollen Zugriff auf das Gerät: Fotos, Kontakte, Anrufe, Nachrichten, Mikrofon und Geolokalisierung.
Quelle: Palo Alto Networks Unit 42
