新たな商用グレードのスパイウェアが中東のSamsung Galaxyスマートフォンを標的にしている模様ですが、誰が背後にいるのかは明らかではないと、研究者らが金曜日のブログ投稿で述べました。
誰が関与しているにせよ、彼らはこれまで知られていなかった未修正の脆弱性、いわゆるゼロデイを利用しましたが、Samsungはすでにこの欠陥を修正したとPalo Alto NetworksのUnit 42の研究者は述べています。
同社はこのスパイウェアを「Landfall」と名付けました。研究によると、イラン、イラク、モロッコ、トルコで標的となった可能性があるとブログ投稿で述べています。このキャンペーンは少なくとも2024年半ばから続いており、スパイウェアが隠れ続ける能力を示しています。
Landfallは悪意のあるDNG画像ファイルに埋め込まれており、これらはWhatsApp経由で送信されたとみられていますが、そのメッセージングプラットフォーム自体に新たな脆弱性があるという証拠はありません。WhatsAppは、主要なスパイウェアベンダーであるNSOグループとの画期的な法廷闘争の中で、別の側面からスパイウェアと戦っています。
このスパイウェアは被害者の操作を必要としない「ゼロクリック」と呼ばれるタイプのエクスプロイトのようです。一度スマートフォンに感染すると、Landfallは業界ベンダーが販売するスパイウェアに見られるような広範な監視機能を持ち、マイク録音の有効化や写真・連絡先の収集が可能です。
「Samsung Galaxyデバイスへの注目は、攻撃者がSamsung固有の画像処理ゼロデイ脆弱性を悪用したことに起因しており、その環境向けにツールが作られたと考えています」と、Unit 42の上級主席研究員Itay Cohen氏はCyberScoopへのメールコメントで述べています。「とはいえ、私たちが見ているのは活動の一部に過ぎないと思います。これは孤立したものではなく、LANDFALLを配信するこのキャンペーンは、別のゼロデイを通じてiPhoneデバイスも攻撃した、より広範なDNGエクスプロイトの波の一部であるようです。また、他のモバイルベンダーも同様または類似のインプラントを配信するために未発見の脆弱性を使って標的にされた可能性もあります。」
このスパイウェアは特にS22、S23、S24およびFold/FlipのSamsungデバイスを標的にしています。
関与している可能性のある手がかりはいくつかありますが、いずれも決定的なものではないとPalo Alto Networksは述べています。
Landfallのコマンド&コントロールインフラやドメイン登録パターンは、アラブ首長国連邦政府との関係が疑われているStealth Falconというグループと類似点があります。
「2025年10月時点で、インフラを除き、LANDFALLのモバイルキャンペーンとStealth Falconによるエンドポイントベースの活動との間に直接的な重複や強い関連性は観測されていません」とPalo Alto Networksは記しています。「しかし、これらの類似点は議論に値します。」
Samsungはコメントの要請にすぐには応じませんでした。
翻訳元: https://cyberscoop.com/landfall-spyware-samsung-phones-palo-alto-networks-unit-42/
