- Der Fehler CVE-2025-21042 ermöglichte die Remotecodeausführung auf mehreren Samsung Galaxy-Geräten
- Angreifer nutzten WhatsApp, um LandFall-Spyware über fehlerhafte Bilddateien zu verbreiten
- Opfer im Nahen Osten; Hinter der Kampagne wird eine Stealth-Falcon-Gruppe vermutet
Mehrere Samsung Galaxy-Geräteserien waren anfällig für einen Fehler, der es Bedrohungsakteuren ermöglichte, sie auszuführen bösartig Code aus der Ferne, warnen Experten.
Erschwerend kommt hinzu, dass Forscher sagen, dass die Schwachstelle als Zero-Day-Angriff genutzt wurde, um bestimmte Personen im Nahen Osten mit Spyware und Infostealern anzugreifen.
Der Fehler, der als CVE-2025-21042 mit einem Schweregrad von 9,8/10 (kritisch) verfolgt wird, wird als Sicherheitslücke beim Schreiben außerhalb der Grenzen beschrieben und in libimagecodec.quram.so vor SMR Apr-2025 Release 1 gefunden. Libimagecodec.quram.so ist eine gemeinsam genutzte Bibliotheksdatei, die Teil des Bildverarbeitungs-Frameworks auf Samsung Android-Geräten ist.
Dateien stehlen und Audio aufnehmen
Laut Sicherheitsforschern der Unit 42 von Palo Alto Network wurde der Fehler von einer böswilligen Entität genutzt, um die Spyware „LandFall“ zu verbreiten.
Der Angriff umfasst das Löschen eines fehlerhaften .DNG-Rohbildformats mit angehängtem .ZIP-Archiv am Ende der Datei. Der Angriffsvektor scheint gewesen zu sein WhatsAppüber den die Datei geteilt wurde.
Nach der Bereitstellung und Ausführung erfasst LandFall einen Fingerabdruck des Geräts, auf dem es sich befindet, und analysiert alle installierten Anwendungen.
Zu seinen Hauptfunktionen gehören die Aufzeichnung über das Mikrofon, die Anrufaufzeichnung, die Standortverfolgung, der Zugriff auf Kontakte, SMS-Nachrichten, Anrufprotokolle, Dateien und Fotos sowie der Zugriff auf den Browserverlauf. Es ist auch durchaus in der Lage, einer Entdeckung zu entgehen und die Persistenz auf kompromittierten Geräten aufrechtzuerhalten.
Mehrere Galaxy-Telefonserie Als angreifbar gelten angeblich: S22, S23 und S24 sowie Z Fold 4 und Z Flip 4. Die neuesten Samsung-Flaggschiffe sind offenbar sicher.
Die Opfer scheinen sich im Irak, im Iran, in der Türkei und in Marokko aufzuhalten, während es sich bei den Angreifern höchstwahrscheinlich um eine Gruppe namens Stealth Falcon mit Sitz in den Vereinigten Arabischen Emiraten (VAE) handelt. Zu diesem Schluss kamen die Forscher durch einen Blick auf die C2-Infrastruktur von LandFall. Palo Alto fordert Samsung-Benutzer dringend auf, ihre Geräte auf dem neuesten Stand zu halten und auf eingehende Nachrichten zu achten, insbesondere auf solche mit Anhängen jeglicher Art.
Über BleepingComputer
Das beste Antivirenprogramm für jedes Budget
Folgen Sie TechRadar auf Google News Und Fügen Sie uns als bevorzugte Quelle hinzu um unsere Expertennachrichten, Rezensionen und Meinungen in Ihren Feeds zu erhalten. Klicken Sie unbedingt auf die Schaltfläche „Folgen“!
Und natürlich können Sie das auch Folgen Sie TechRadar auf TikTok für Neuigkeiten, Rezensionen, Unboxings in Videoform und erhalten Sie regelmäßige Updates von uns WhatsApp zu.
