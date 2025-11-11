Erst im September 2025 hatte Samsung eine Sicherheitslücke in seinen Smartphones behoben. Damals machten Sicherheitsforscher:innen das Unternehmen darauf aufmerksam, dass sich Hacker:innen über Whatsapp Zugriff auf die Geräte verschaffen können. Jetzt ist eine weitere Sicherheitslücke bekannt geworden, die ziemliche Ähnlichkeiten aufweist.

Sicherheitslücke bei Samsung: Whatsapp-Bilder reichten aus

Die Ähnlichkeit betonen auch die Sicherheitsforscher:innen von Unit 42, die die Lücke entdeckt und an Samsung gemeldet haben: „Die Ähnlichkeiten sind bemerkenswert. Beide Sicherheitslücken wurden etwa zur selben Zeit gemeldet und beide haben Verbindungen zur Verarbeitung von DNG-Bilddateien, die durch mobile Kommunikationsanwendungen übertragen werden“.

Die Sicherheitsforscher:innen haben die neue Lücke Landfall (CVE-2025-21403) getauft. Der Gefahren-Score liegt bei 9,8 von zehn möglichen Punkten. Im Grunde müssen Angreifer:innen nur eine manipulierte DNG-Bilddatei über Messenger wie Whatsapp verschicken. Offenbar kam es dabei sogar zu Vorfällen, bei denen User:innen nicht einmal auf das Bild tippen mussten, um ein darin verstecktes Zip-Archiv auf dem Samsung-Smartphone herunterzuladen und zu entpacken.

Ist Landfall erst auf einem Smartphone, arbeitet es zunächst unerkannt im Hintergrund als Spyware. Die Schadsoftware liest Geräteinformationen wie SIM-Kartennummern, die ID des Smartphones und Netzwerkkonfigurationen aus und versendet sie heimlich. Ferner soll Landfall Mikrofone abhören und Telefonate aufnehmen sowie auf gespeicherte Daten wie Fotos, Kontakte und Browserchroniken und Chatverläufe zugreifen können. Als ob das nicht ausreichen würde, können Angreifer:innen über Landfall auch noch weitere Malware auf Smartphones schleusen und ausführen. Im Zweifel verlieren Nutzer:innen also nicht nur ihre Daten, sondern auch den Zugriff auf das Gerät, wenn Ransomware aufgespielt wird.

Laut den Sicherheitsforscher:innen hat Samsung die Sicherheitslücke zwar mittlerweile geschlossen, doch soll es einige echte Fälle mit Landfall gegeben haben. Das geht aus Daten auf Virustotal hervor, die zwischen Juli 2024 und Februar 2025 von User:innen hochgeladen wurden und Hinweise auf manipulierte DNG-Dateien enthalten. Samsung-User:innen, die die aktuellen Updates auf ihrem Smartphone installiert haben, müssen sich nicht mehr um die Lücke sorgen.

Während ihrer Forschungen haben die Sicherheitsexpert:innen auch versucht, die Spyware zu einer bekannten Malware-Gruppierung zurückzuverfolgen. Zu einem definitiven Ergebnis sind sie allerdings nicht gekommen. Sie konnten lediglich feststellen, dass einige Domain-Muster mit der Gruppe „Stealth Falcon“ übereinstimmen. Davon abweichend referenziert die Spyware im Code sich selbst unter dem Namen „Bridge Head“. Laut Unit 42 kommt dieser Spitzname häufig bei Unternehmen vor, die solche Programme im Privatsektor entwickeln und anschließend an Hacker:innen verkaufen.

