Sicherheitsforscher haben im vergangenen Jahr eine ausgeklügelte Spyware-Kampagne aufgedeckt, die speziell auf Samsung Galaxy-Handys abzielte. Die als „Landfall“ bezeichnete Spyware nutzte eine bisher unbekannte Sicherheitslücke – eine „Zero-Day“ – in der Galaxy-Telefonsoftware aus und verdeutlichte damit die anhaltende Bedrohung durch fortschrittliche Überwachungstools.
Die Zero-Day-Sicherheitslücke und ihre Ausnutzung
Die erstmals im Juli 2024 entdeckte Spyware nutzte einen Fehler in der Galaxy-Software von Samsung aus, der Samsung zu diesem Zeitpunkt nicht bekannt war. Diese Schwachstelle ermöglichte es Angreifern, die Spyware möglicherweise auf dem Telefon eines Opfers zu installieren, indem sie einfach ein in böser Absicht erstelltes Bild verschickten, wahrscheinlich über eine Messaging-Anwendung. Besorgniserregend ist, dass dieser Angriff möglicherweise keine Interaktion seitens des Telefonbenutzers erforderte, was es äußerst schwierig macht, ihn zu erkennen und zu verhindern.
Samsung hat die Sicherheitslücke, die jetzt als CVE-2025-21042 identifiziert wurde, im April 2025 behoben. Bisher wurden jedoch Details über die Spyware-Kampagne, die diese Schwachstelle aktiv ausnutzt, öffentlich bekannt gegeben.
Identifizieren der Taktiken und potenziellen Ziele
Die Forscher der Unit 42 von Palo Alto Networks haben festgestellt, dass es sich offenbar um einen „Präzisionsangriff“ handelt, der auf bestimmte Personen abzielt, und nicht um eine weit verbreitete Malware-Verbreitung. Dies deutet stark darauf hin, dass die Kampagne durch Spionage vorangetrieben wurde und sich die Angreifer darauf konzentrierten, Informationen über ausgewählte Ziele zu sammeln.
Während der konkrete Entwickler der Landfall-Spyware unbekannt bleibt, hat Unit 42 interessante Verbindungen zu einem bekannten Überwachungsanbieter namens Stealth Falcon gefunden. Stealth Falcon war bereits im Jahr 2012 an Spyware-Angriffen auf Journalisten, Aktivisten und Dissidenten aus den Emiraten beteiligt. Die Überschneidung der digitalen Infrastruktur zwischen Landfall und Stealth Falcon lässt Verdacht aufkommen, eine direkte Zuordnung zu einer bestimmten Regierung bleibt jedoch unbestätigt.
Geografischer Umfang und Geräte-Targeting
Die Analyse der auf VirusTotal hochgeladenen Landfall-Spyware-Proben ergab, dass im Jahr 2024 und Anfang 2025 Aktivitäten aus Marokko, dem Iran, dem Irak und der Türkei stammten. Insbesondere hat das nationale Cyber-Readiness-Team (USOM) der Türkei eine der von Landfall verwendeten IP-Adressen als bösartig gekennzeichnet, was die Theorie, dass Personen in der Türkei angegriffen wurden, weiter untermauert.
Der Code der Spyware bezieht sich speziell auf fünf Galaxy-Telefonmodelle, darunter das Galaxy S22, S23 und S24, sowie auf einige Geräte der Z-Serie. Forscher gehen davon aus, dass sich die Sicherheitslücke möglicherweise auf andere Galaxy-Geräte ausgeweitet hat, auf denen die Android-Versionen 13 bis 15 ausgeführt werden.
Funktionen von Landfall Spyware
Ähnlich wie andere staatliche Spyware bietet Landfall umfassende Möglichkeiten zur Geräteüberwachung. Es ist in der Lage, auf eine Vielzahl persönlicher Daten zuzugreifen, darunter Fotos, Nachrichten, Kontakte und Anrufprotokolle. Darüber hinaus kann es das Mikrofon des Geräts für die Audioaufnahme aktivieren und den genauen Standort des Benutzers verfolgen.
Diese neueste Entdeckung unterstreicht die anhaltenden Herausforderungen, die hochentwickelte Spyware mit sich bringt, und die Notwendigkeit erhöhter Wachsamkeit bei Personen, die dem Risiko einer gezielten Überwachung ausgesetzt sind.
Das Aufkommen von Landfall verdeutlicht die anhaltende und sich weiterentwickelnde Bedrohung durch gezielte Spyware-Angriffe, insbesondere gegen Personen in Regionen, die für ihr politisches und soziales Engagement bekannt sind. Obwohl Samsung die spezifische Schwachstelle behoben hat, erinnert der Vorfall daran, wie wichtig es ist, Geräte auf dem neuesten Stand zu halten und beim Öffnen von Anhängen oder Links aus nicht vertrauenswürdigen Quellen Vorsicht walten zu lassen.
