Forscher von Palo Alto Networks haben mit LandFall eine bisher unbekannte Spionageplattform offengelegt, die seit mindestens Juli 2024 eine 0‑Day in ausgewählten Samsung‑Galaxy-Modellen ausnutzte. Der Angriffsvektor: präparierte DNG‑Bilddateien, die über WhatsApp zugestellt und beim automatischen Parsen ausgenutzt wurden. Samsung schloss die Schwachstelle im April 2025, was den Angreifern rund neun Monate aktiver Nutzung ermöglichte.
Technische Details: CVE‑2025‑21042 in libimagecodec.quram.so
Kern der Angriffe ist CVE‑2025‑21042 (CVSS: 8.8) in der Bildbibliothek libimagecodec.quram.so. Die Schwachstelle ist ein Out‑of‑Bounds Write, der beim Verarbeiten manipulierter DNGs beliebige Codeausführung auf dem Gerät erlaubt. Laut den Forschern wurde der Fix von Samsung erst mit den Sicherheitsupdates vom April 2025 ausgeliefert, während die Kampagne bereits über mehrere Update‑Zyklen hinweg aktiv war.
Infektionskette über WhatsApp: Zero‑Click durch Medienvorschau
Der Erstzugriff erfolgte über DNG‑Dateien, in denen ein ZIP‑Archiv mit Komponenten der Schadnutzlast versteckt war. Sobald das System die Bildvorschau verarbeitete, triggerten die Angreifer den Exploit – ohne Nutzerinteraktion. Diese Technik ist besonders riskant, da Messenger Medien automatisch analysieren, um Thumbnails zu erstellen.
Warum DNG ein attraktives Ziel darstellt
Das Digital Negative (DNG)-Format ist funktionsreich und führt umfangreiche Metadaten mit, was Parser komplex und fehleranfällig macht. Die LandFall-Kette reiht sich in einen Trend ein: Bereits zuvor wurden DNG‑Parserfehler in iOS (CVE‑2025‑43300) und WhatsApp (CVE‑2025‑55177) missbraucht. Medien‑Codecs bleiben damit ein leiser, schwer zu erkennender Angriffsvektor.
Geografie, Ziele und betroffene Geräte
Telemetrie und Funde auf VirusTotal ab dem 23. Juli 2024 weisen auf Zustellungen über WhatsApp hin. Zielregionen waren Irak, Iran, Türkei und Marokko. Betroffen sind Galaxy S22, S23, S24 sowie Z Fold 4 und Z Flip 4; die zum Veröffentlichungszeitpunkt neueste Reihe S25 gilt als nicht betroffen. Identifiziert wurden sechs C2‑Server, von denen einige bereits vom türkischen CERT als schädlich eingeordnet wurden.
Architektur von LandFall: Loader, SELinux‑Manipulation und Aufklärung
LandFall setzt auf zwei Kernmodule: b.so fungiert als Loader und lädt bei Bedarf zusätzliche Plugins nach. l.so nimmt SELinux‑Policy‑Änderungen vor, was Privilegienausweitung und Persistenz erleichtert. Nach erfolgreicher Kompromittierung sammelt die Plattform einen detaillierten Geräte‑Fingerprint, darunter IMEI, IMSI, SIM‑Nummern, Kontoparameter, Bluetooth‑Infos, Geostandort und die Liste installierter Apps, und stellt zusätzliche Funktionen für verdeckte Überwachung bereit.
Attribution und Kontext: Kommerzielle Spyware‑Ökosysteme
Die Forscher ordnen LandFall einem kommerziellen Spionage‑Framework zu. Konkrete Urheberschaft bleibt offen; die C2‑Infrastruktur erinnert jedoch an Operationen, die der Gruppe Stealth Falcon aus den VAE zugeschrieben werden. Die Bezeichnung eines Loader‑Komponentenstrangs (Bridge Head) passt zu Naming‑Konventionen bekannter Commercial Surveillance Vendors wie NSO Group, Variston, Cytrox oder Quadream. Diese Indizien sind keine Beweise, sprechen aber für eine professionelle, kommerzielle Herkunft.
Empfehlungen: Schutzmaßnahmen und Erkennung
Patch-Management: Installieren Sie die Samsung‑Sicherheitsupdates ab April 2025, die CVE‑2025‑21042 schließen. Priorisieren Sie betroffene Galaxy‑Modelle in der Warteschlange.
Härtung von Messengern: Deaktivieren Sie Auto‑Download und Auto‑Speichern von Medien in WhatsApp und anderen Apps. Minimieren Sie die automatische Vorverarbeitung unbekannter Anhänge.
Detection & Response: Überwachen Sie SELinux‑Policy‑Änderungen, prüfen Sie verdächtige Bibliothekshashes und beobachten Sie ausgehende Verbindungen zu unbekannten Domains/C2. Nutzen Sie Android‑MDM/EDR mit Least‑Privilege‑Policies.
Threat Intelligence & Retrohunt: Prüfen Sie veröffentlichte Indicators of Compromise (IoCs) und führen Sie eine Rückschauanalyse der Logs ab Juli 2024 durch, um mögliche Lateralbewegungen zu erkennen.
LandFall zeigt, dass Medien‑Codecs weiterhin ein attraktives Einfallstor für Zero‑Click-Angriffe sind. Organisationen sollten Update‑Zyklen verkürzen, dem Eingangsverkehr an Medien weniger Vertrauen schenken und die Telemetrie auf Geräteebene ausbauen. Wer 0‑Day‑Fenster schnell schließt und Anomalien in Sicherheitsrichtlinien umgehend detektiert, senkt das Risiko langfristiger Überwachung signifikant.
