Sicherheitsforscher haben eine Android-Spyware entdeckt, die während einer fast einjährigen Hacking-Kampagne gezielt Samsung Galaxy-Handys ins Visier nahm.
Die Forscher von Palo Alto Networks’ Unit 42 berichteten, dass die Spyware, die sie „Landfall“ nennen, erstmals im Juli 2024 entdeckt wurde und auf einer Sicherheitsanfälligkeit in der Software der Galaxy-Handys basierte, die zu diesem Zeitpunkt Samsung unbekannt war – eine Art von Schwachstelle, die als Zero-Day bezeichnet wird.
Unit 42 erklärte, dass die Schwachstelle ausgenutzt werden konnte, indem ein bösartig gestaltetes Bild an das Telefon des Opfers gesendet wurde, wahrscheinlich über eine Messaging-App, und dass die Angriffe möglicherweise keine Interaktion des Opfers erforderten.
Samsung hat die Sicherheitsanfälligkeit – verfolgt als CVE-2025-21042 – im April 2025 gepatcht, aber Details zur Spyware-Kampagne, die diese Schwachstelle ausnutzte, wurden zuvor nicht berichtet.
Die Forscher gaben in einem Blogbeitrag an, dass nicht bekannt ist, welcher Überwachungsanbieter die Landfall-Spyware entwickelt hat, noch wie viele Personen im Rahmen der Kampagne angegriffen wurden. Die Angriffe richteten sich jedoch wahrscheinlich gegen Einzelpersonen im Nahen Osten.
Itay Cohen, ein leitender Principal Researcher bei Unit 42, erklärte gegenüber TechCrunch, dass die Hacking-Kampagne einen „Präzisionsangriff“ auf bestimmte Einzelpersonen darstellte und kein massenhaft verbreitetes Malware-Programm war, was darauf hindeutet, dass die Angriffe wahrscheinlich durch Spionage motiviert waren.
Unit 42 fand heraus, dass die Landfall-Spyware digitale Infrastrukturen teilt, die auch von einem bekannten Überwachungsanbieter namens Stealth Falcon verwendet werden, der bereits in Spyware-Angriffen auf emiratische Journalisten, Aktivisten und Dissidenten seit 2012 gesehen wurde. Die Forscher stellten jedoch fest, dass die Verbindungen zu Stealth Falcon zwar interessant sind, aber nicht ausreichen, um die Angriffe eindeutig einem bestimmten Regierungsauftraggeber zuzuschreiben.
Unit 42 stellte fest, dass die von ihnen entdeckten Proben der Landfall-Spyware von Personen in Marokko, Iran, Irak und der Türkei im Laufe von 2024 und Anfang 2025 hochgeladen wurden.
Das nationale Cyber-Bereitschaftsteam der Türkei, bekannt als USOM, hat eine der IP-Adressen, mit denen die Landfall-Spyware verbunden war, als bösartig eingestuft, was die Theorie unterstützt, dass möglicherweise Personen in der Türkei ins Visier genommen wurden.
Wie andere Regierungs-Spyware ist auch Landfall in der Lage, umfassende Geräteüberwachungen durchzuführen, einschließlich des Zugriffs auf Daten des Opfers, einschließlich Fotos, Nachrichten, Kontakte und Anrufprotokolle, sowie das Abhören des Mikrofons des Geräts und die Verfolgung des genauen Standorts.
Unit 42 fand heraus, dass der Quellcode der Spyware fünf spezifische Galaxy-Handys, darunter die Modelle Galaxy S22, S23, S24 und einige Z-Modelle, als Ziele referenzierte. Cohen bemerkte, dass die Schwachstelle möglicherweise auch auf anderen Galaxy-Geräten vorhanden war und die Android-Versionen 13 bis 15 betroffen waren.
Samsung hat nicht auf eine Anfrage um Stellungnahme reagiert.
