Samsung-Smartphones der aktuellen Galaxy-S-Serie geraten weltweit ins Visier einer neuen Hackergruppe.
Nach einem Werksreset übernehmen Cyberkriminelle über eine Firma namens Numero LLC die komplette Kontrolle über betroffene Geräte, ohne dass du davon weißt.
Auch nach dem Zurücksetzen auf Werkseinstellungen bleibt der Angriff aktiv: Deine persönlichen Daten und Konten sind vollständig fremden Administratoren ausgeliefert.
Das Ausmaß der kompromittierten Systeme wächst täglich, Fachleute sprechen von einem neuen Höhepunkt bei gezielten Angriffen auf mobile Endgeräte.
Samsung-Nutzer sind seit Wochen alarmiert: Auf zahlreichen Smartphones übernimmt nach einem Werksreset plötzlich eine Firma namens Numero LLC die volle Kontrolle über das Gerät. Betroffene berichten, dass sie keinen Bezug zu diesem Unternehmen haben, ihre Daten jedoch komplett fremden Personen ausgeliefert sind – selbst nach einer Rücksetzung auf den Auslieferungszustand. Hinter dem Vorfall steckt eine neue Cyberangriffswelle, die insbesondere Modelle der Galaxy-S-Serie weltweit betrifft.
Smartphones nach Werksreset unter Fremdverwaltung
Wer ein Samsung Galaxy S22 Ultra oder ein anderes aktuelles Top-Modell auf Werkseinstellungen zurücksetzt, erwartet ein sicheres, neues System. Doch Nutzer bemerken nach dem Neustart eine böse Überraschung: Das Gerät meldet, es gehöre nicht mehr dem Käufer, sondern der fremden Firma Numero LLC.
Obwohl die Handys direkt im Fachhandel oder offiziell bei Samsung erworben wurden, werden viele Konten plötzlich gesperrt und administrative Rechte entzogen. Nutzer können auf wichtige Systemfunktionen nicht mehr zugreifen. Die möglichen Zugriffsrechte der Fremdfirma sind umfassend – von der Sperrung einzelner Apps bis zum vollständigen Fernzugriff auf deine privaten Daten.
Dieses Szenario sorgt nicht nur für Ärger, sondern ist ein gravierendes Sicherheitsproblem. Besonders brisant: Dieses Phänomen beobachtest du nicht nur in Einzelfällen. In zahlreichen Internetforen und Social-Media-Gruppen häufen sich die Berichte, auch Supportforen von Samsung sind von Rückmeldungen zu diesem Problem überflutet.
Hintergrund: Systematische Übernahme durch Hackergruppe
Nach bisherigen Erkenntnissen steckt hinter der Übernahme kein legitimer Konzern, sondern eine international agierende Hackergruppe. Sie nutzt Schwachstellen in Samsungs Geräteschutz-Konstrukt, dem sogenannten Knox-System, und registriert gestohlene IMEI-Nummern massenhaft auf ihren Namen. Damit gelingt es den Tätern, sich als firmeninterner Administrator auszugeben und alle Fernwartungsfunktionen zu kontrollieren.
Die IMEI, eine eindeutige Seriennummer deines Handys, ist für Mobilfunkanbieter und Hersteller der Nachweis für die „Besitzurkunde“ des Geräts. Nutzt ein Angreifer diese Nummer und meldet sie bei Samsung fälschlicherweise als Firmeneigentum, kann das Smartphone über Knox in den „Enterprise-Modus“ versetzt werden. Dann taucht der echte Besitzer als normaler Benutzer ohne Sonderrechte auf, während Numero LLC als Administrator alle wichtigen Systemaktionen fernsteuern kann.
Dies bedeutet faktisch: Nach einem Werksreset gehst du davon aus, ein sauberes Gerät zu benutzen, in Wahrheit hast du jetzt ein von außen steuerbares, kompromittiertes Smartphone in der Hand.
Angriffsvektor durch manipulierte Software und unsichere Apps
Ein besonderes Alarmzeichen ist die App „Samsung Admin“, die plötzlich auf betroffenen Geräten auftaucht. Sie ist im offiziellen Betriebssystem nicht enthalten und wird offensichtlich durch die Hacker in das System eingeschleust. Diese App gibt vor, Geräte innerhalb eines Unternehmens zu verwalten und trägt oft den Zusatz „FRP Unlock“. Damit wird eigentlich die Gerätesperre nach einem Reset entfernt – ein Mechanismus, der normalerweise bei Eigentümerwechseln zum Einsatz kommt.
Bist du von diesem Angriff betroffen, kann der neue Administrator beliebig Zugriffsrechte erteilen oder entziehen. Auch der Zugriff auf gespeicherte Fotos, Dokumente, Kontakte und sogar Passwörter ist möglich. Besonders fatal ist das für alle, die ihr Smartphone für sensible Anwendungen wie Banking, Gesundheitsapps oder geschäftliche Kommunikation nutzen.
Oft wird die Übernahme durch manipulierte App-Updates, gefälschte Systemkomponenten oder Phishing-Kampagnen eingeleitet. Selbst nach dem Zurücksetzen über die offiziellen Einstellungen bleibt die Fremdverwaltung bestehen. Das deutet auf tiefgreifende Manipulationen der Systemtiefe hin – ein klassisches Zeichen eines umfassend geplanten, gezielten Cyberangriffs.
Globale Dimension: Wer steckt hinter Numero LLC?
Die genaue Identität von Numero LLC ist unklar. Während viele Betroffene auf eine Registrierung in Südkorea verweisen, fehlen Bezüge zu legitimen Geschäften. Weder Website noch nachprüfbare Kontaktdaten führen zu einer real existierenden Organisation, die seriöse Geräteverwaltung anbieten würde. Die Spur zu Nummernverwaltung und Administratorrechten legt den Verdacht nahe, dass sich die Hintermänner gezielt als vertrauenswürdiger Anbieter tarnen und ihre Aktivitäten weltweit organisieren.
Die Methode ist nicht neu. Firmenhandys werden seit Jahren per Mobile Device Management (MDM) ferngesteuert. Kriminelle nutzen diese Strukturen jetzt für massive Angriffe auf Verbraucher, indem sie Standardverfahren für Sammelgeräte zweckentfremden. Besonders gefährlich wird dieser Trend durch die starke globale Verbreitung von Samsung-Smartphones.
Spuren und Warnsignale auf deinem Smartphone
Es gibt mehrere eindeutige Anzeichen, an denen du einen solchen Angriff erkennen kannst. Typisch ist die Meldung nach dem Neustart, dass das Gerät Teil eines Unternehmensnetzwerks sei. Außerdem erscheinen Apps und Verwaltungsfunktionen, die du nicht installiert hast und die keine offizielle Quelle besitzen. Systemberechtigungen können plötzlich blockiert oder entzogen werden, viele Benutzeroptionen sind deaktiviert.
Oft sehen Nutzer im Gerätemanager seltsame Administratornamen, oder es wird automatisch eine Gerätesperre aktiviert. Auch schnelle Akkuentladung, ungewöhnliche Netzwerkaktivitäten oder unerklärte Datenübertragungen sind Hinweise auf eine tiefgreifende Kompromittierung.
Wenn du solche Hinweise bemerkst, ist besondere Vorsicht geboten. Sämtliche auf dem Gerät gespeicherten Daten könnten bereits kopiert oder manipuliert sein.
Verantwortung und Reaktion von Samsung
Viele Nutzer wenden sich an Samsung-Support. Der Herstellerservice verweist darauf, dass Probleme mit Administratorrechten über den Knox-Support gelöst werden müssen. Die dortigen Spezialisten wiederum deklarieren das Problem häufig als betriebsextern und leiten Betroffene zurück zu Samsung.
Die Folge sind verunsicherte Nutzer, die keinerlei konkrete Hilfe erhalten. Research-Teams und Sicherheitsfachleute fordern seit Langem klarere Mechanismen für den Nachweis des rechtmäßigen Eigentums an Endgeräten. Bislang stellt Samsung keine Werkzeuge zur Verfügung, um eine unrechtmäßige Übernahme rückgängig zu machen.
Für viele Nutzer ist das Risiko untragbar: Sie meiden Online-Banking, bewahren keine persönlichen Daten im Gerät auf und verzichten ganz auf die Benutzung, bis eine Lösung gefunden ist. Besonders beängstigend ist, dass das Problem bereits seit Monaten bekannt ist, aber eine tragfähige Abhilfe immer noch fehlt.
Wie du dein Smartphone schützen kannst
Im aktuellen Fall hilft leider auch ein Werksreset nicht mehr. Sobald dein Gerät durch einen Angreifer in die Unternehmensverwaltung übernommen wurde, kann die Kontrolle nur durch den Administrator aufgehoben werden – im Zweifel also nie. Verdächtige Apps solltest du umgehend deinstallieren und keine Software aus unsicheren Quellen installieren.
Halte dein Betriebssystem stets aktuell, installiere wichtige Sicherheitspatches sofort. Lade Software stets nur über den offiziellen Samsung App-Store und achte darauf, keine sensiblen Informationen leicht zugänglich zu speichern. Nutze starke Passwörter und sichere möglichst viele Apps mit Zwei-Faktor-Authentifizierung.
Wenn du den Verdacht hast, dass dein Gerät betroffen sein könnte, solltest du so viele persönliche Daten wie möglich lokal sichern und keine weiteren sensiblen Eingaben vornehmen. Die Chance, dass vertrauliche Informationen bereits kopiert wurden, ist hoch.
Was der Angriff für den Smartphone-Markt bedeutet
Diese Cyberangriffswelle trifft Samsungs Vertrauensbasis ins Mark. Privatanwender erwarten umfassenden Schutz, gerade von Marktführern. Die massenhafte Übernahme durch eine unbekannte Hackergruppe könnte dazu führen, dass sich viele Konsumenten neue Schutzstrategien überlegen und zum Teil den Anbieter wechseln.
Der Fall zeigt: Der Mobilgerätemarkt braucht dringend überzeugende Mechanismen, um Diebstahl und Sabotage systematisch einzudämmen. Hersteller müssen robustere Kontrollsysteme in der Cloud und lokal im Gerät implementieren, die Besitzwechsel sicher und nachvollziehbar regeln.
Viele Beobachter warnen: Solange Betriebssystem- und Cloudanbindungen nicht eindeutig nachweisen, wer das Recht an einem bestimmten Gerät hat, bleiben Verbraucher massiven Risiken ausgesetzt.
Fazit: Dringender Handlungsbedarf für alle Seiten
Der aktuelle Angriff auf Samsung-Smartphones ohne Wissen der Nutzer verdeutlicht, wie perfide und professionell Cyberkriminalität agiert. Gerätehersteller sind gefordert, endlich klare Schutzkonzepte gegen Identitäts- und Rechteübernahme zu etablieren.
Als Nutzer solltest du ein Höchstmaß an Vorsicht walten lassen. Trau deinem Gerät nicht blind und prüfe alle auffälligen Systemmeldungen sorgfältig. Rasches Handeln kann in vielen Fällen weiteren Schaden verhindern. Bis eine nachhaltige Lösung vorliegt, bleibt das eigene Smartphone ein potenzielles Einfallstor für Cyberkriminalität – selbst nach einem vermeintlich sicheren Werksreset. Samsung und die gesamte Branche müssen bei der Bekämpfung solcher Angriffe jetzt deutlich nachlegen, um das Vertrauen ihrer Kunden zu bewahren und künftige Invasionen zu verhindern.
