WhatsApp-Spyware-Kampagne entlarvt: So schützen Sie sich vor digitalen Angriffen

Eine neue Spyware-Kampagne nutzt WhatsApp als Einfallstor – und zeigt, wie verwundbar unsere digitale Kommunikation bleibt.

Die Bedrohung im Detail: Angreifer schleusen Malware über scheinbar harmlose Nachrichten ein. Betroffen sind sowohl Privatnutzer als auch Unternehmen.

Ironischer Nebeneffekt: Während Tech-Giganten Milliardengewinne einfahren, bleibt die Sicherheit der Nutzer oft auf der Strecke. Ein klassisches Beispiel dafür, wie Cybersecurity zur Verhandlungsmasse wird.

Die Malware LANDFALL befällt Android-Samsung-Geräte

Laut dem Untersuchungsbericht von Unit 42 veröffentlicht wurde , war die Android-spezifische Malware in den iOS-Proben enthalten, die in digitalen Negativdateien (DNG) versteckt waren.

Einige Besitzer von Samsung Galaxy-Handys berichteten, dass sie WhatsApp-ähnliche Namen wie „IMG-20240723-WA0000.jpg“ gesehen hätten, die zwischen Juli 2024 und Anfang 2025 von Orten wie Marokko, Iran, Irak und der Türkei auf VirusTotal hochgeladen wurden.

LANDFALL nutzt eine Sicherheitslücke namens „CVE-2025-21042“ aus, eine Schwachstelle in Samsungs Bildverarbeitungsbibliothek libimagecodec.quram.so . CVE-2025-12725 ist ebenfalls ein Schreibfehler außerhalb des zulässigen Speicherbereichs in WebGPU, der Grafikkomponente des Google-Browsers Chrome.

Die Sicherheitslücke wurde im April 2025 nach Berichten über aktive Ausnutzung geschlossen trac Spyware installierten .

Laut dem Bericht von Unit 42 aktiviert die Spyware Mikrofone zur Aufnahme, tracNutzer per GPS und stiehlt unauffällig Informationen wie Fotos, Kontakte, Anruflisten und Nachrichten. Betroffen sind Samsung Galaxy Modelle der Serien S22, S23, S24 und Z, insbesondere solche mit den Android-Versionen 13, 14 und 15. 

Die Zero-Day-Schwachstelle betrifft auch das Parsen von DNG-Bildern auf Apple iOS . WhatsApp-Entwickler entdeckten, dass Angreifer die Apple-Schwachstelle mit der genannten Schwachstelle verknüpften, um Geräte zur Verarbeitung von Inhalten von bösartigen URLs zu zwingen.

Der zweite Teil von LANDFALL, genannt b.so, verbindet sich über HTTPS und einen temporären, nicht standardmäßigen TCP-Port mit seinem Command-and-Control-Server (C2). Die Schadsoftware kann Ping-Signale senden, um zu prüfen, ob der Server erreichbar ist, bevor der verschlüsselte Datenverkehr beginnt. Dies wird im technischen Anhang des Berichts erläutert.

Sobald die HTTPS-Verbindung aktiv ist, sendet b.so eine POST-Anfrage mit detaillierten Informationen über das infizierte Gerät und die Spyware-Instanz, einschließlich der Agenten-ID, des Gerätepfads und der Benutzer-ID.

Im September meldete WhatsApp eine ähnliche Sicherheitslücke (CVE-2025-21043) an Samsung. Das Unternehmen warnte seine Nutzer davor, dass bösartige Nachrichten Schwachstellen im Betriebssystem ausnutzen

„Unsere Untersuchung deutet darauf hin, dass Ihnen möglicherweise eine schädliche Nachricht über WhatsApp zugesendet wurde, die mit anderen Sicherheitslücken in Ihrem Betriebssystem in Verbindung gebracht wird“, so Meta in einem Sicherheitsupdate. „Obwohl wir nicht mit Sicherheit wissen, ob Ihr Gerät kompromittiert wurde, wollten wir Sie vorsichtshalber informieren.“

Letzte Woche berichtete die Zeitung „The Peninsula“, dass die Kampagne auf staatlich gesteuerte Spionagesoftware auf Mobilgeräten im Nahen Osten tracwerden könnte. Pegasus von NSO Group, Predator von Cytox/Intellixa und FinFisher FinSpy von Gamma werden seit Langem mit ähnlichen Angriffen in Verbindung gebracht. 

Google stellt Updates bereit, um einer Zero-Day-Sicherheitslücke entgegenzuwirken.

Laut einem früheren Google-Bericht waren diese Akteure zwischen 2014 und 2023 für fast die Hälfte aller Zero-Day-Schwachstellen in Google-Produkten verantwortlich. Letzten Monat untersagte ein US-Bundesgericht der israelischen NSO Group, WhatsApp durch Reverse Engineering zu analysieren, um Spyware zu verbreiten.

„Unternehmen wie WhatsApp ‚verkaufen‘ unter anderem die informationelle Privatsphäre, und jeder unberechtigte Zugriff stellt einen Eingriff in diesen Verkauf dar“, sagte die US-Bezirksrichterin Phyllis Hamilton in ihrem Urteil.

Die Technologiekonzerne veröffentlichten letzte Woche Chrome Version 142, um fünf kritische Sicherheitslücken zu schließen, von denen drei laut Herstellerangaben als „hochriskant“ eingestuft wurden. Das Update wurde über Google Play für Desktop-Plattformen und Android-Geräte bereitgestellt.

CVE-2025-12727 betrifft die JavaScript-Engine V8 von Chrome, die für die Leistungsausführung verantwortlich ist, während CVE-2025-12726 den Benutzeroberflächenmanager Chrome Views des Browsers betrifft. 

Cybersicherheitsexperten fordern Samsung Galaxy-Nutzer nun dringend auf, das Sicherheitsupdate vom April 2025 umgehend zu installieren, um die Sicherheitslücke CVE-2025-21042 zu schließen. 

Werden Sie dort gesehen, wo es darauf ankommt. Schalten Sie Werbung in Cryptopolitan Research und erreichen Sie die besten Krypto-Investoren und -Entwickler.