Die von der Sicherheitsfirma Unit 42 entdeckte Schwachstelle trägt den Namen Landfall (CVE-2025-21403) und erreichte mit 9,8 von 10 Punkten einen der höchsten Gefahrenwerte. Der Angriff war dabei erschreckend einfach: Eine präparierte DNG-Bilddatei genügte, um Schadcode auf einem Smartphone auszuführen. In einigen dokumentierten Fällen reichte bereits der Empfang des Bildes, ohne dass es geöffnet wurde. Die Datei konnte im Hintergrund ein verstecktes Archiv entpacken und so Spyware installieren.

Einmal aktiv, sammelte Landfall umfangreiche Daten. Dazu gehörten Geräteinformationen wie SIM-Nummern, Netzwerkdetails und die eindeutige Smartphone-ID. Zudem konnte die Schadsoftware Mikrofone anzapfen, Telefonate aufzeichnen und auf gespeicherte Fotos, Kontakte oder Chatverläufe zugreifen. Besonders kritisch: Über die gleiche Sicherheitslücke war es möglich, weitere Schadprogramme wie Ransomware nachzuladen, wodurch Betroffene im schlimmsten Fall den Zugriff auf ihr Gerät vollständig verlieren konnten.

Samsung hat die Lücke inzwischen geschlossen, doch laut den Forschern existierten bereits infizierte Geräte. Auf der Analyseplattform Virustotal fanden sich zwischen Juli 2024 und Februar 2025 mehrere verdächtige DNG-Dateien, die mit Landfall in Verbindung gebracht werden. Nutzer, die in diesem Zeitraum keine regelmäßigen Sicherheitsupdates installierten, könnten demnach besonders gefährdet gewesen sein.

Die Parallelen zu einer bereits im September 2025 behobenen Schwachstelle sind auffällig. Auch damals nutzten Angreifer Bilddateien, um über Messenger-Apps wie Whatsapp Zugriff zu erhalten. Beide Lücken hängen mit der Art zusammen, wie Samsung-Systeme DNG-Dateien verarbeiten.

Wer hinter der Schadsoftware steckt, ist bisher unklar. Die Untersuchung deutet jedoch auf professionelle Strukturen hin. Einzelne Domain-Muster stimmen mit der Hackergruppe Stealth Falcon überein, die bereits in früheren Spionagekampagnen aufgefallen ist.