(画像提供:Samsung)
- CVE-2025-21042の脆弱性により、複数のSamsung Galaxyデバイスでリモートコード実行が可能に
- 攻撃者はWhatsAppを利用して、細工された画像ファイルでLandFallスパイウェアを配布
- 被害者は中東地域で標的にされ、Stealth Falconグループが背後にいると疑われる
複数のSamsung Galaxyシリーズのデバイスに、脅威アクターが悪意のあるコードをリモートで実行できる脆弱性が存在していたと、専門家が警告しています。
さらに悪いことに、研究者によるとこの脆弱性はゼロデイとして利用され、中東の特定の個人をスパイウェアや情報窃取型マルウェアで標的にしていたとのことです。
このバグはCVE-2025-21042として追跡されており、深刻度9.8/10(クリティカル)と評価されています。libimagecodec.quram.so(SMR Apr-2025 Release 1以前)に存在するアウトオブバウンズ書き込みの脆弱性です。libimagecodec.quram.soは、Samsung Androidデバイスの画像処理フレームワークの一部である共有ライブラリファイルです。
ファイルの窃取と音声の録音
Palo Alto NetworkのUnit 42のセキュリティ研究者によると、このバグは悪意ある組織によって「LandFall」スパイウェアの展開に利用されました。
攻撃は、ファイルの末尾に.ZIPアーカイブが付加された細工された.DNG生画像フォーマットを配布するものでした。攻撃経路はWhatsAppで、ファイルが共有されていました。
LandFallは展開・実行されると、端末のフィンガープリントを取得し、インストールされているすべてのアプリケーションを分析します。
主な機能は、マイクを使った録音、通話録音、位置情報の追跡、連絡先・SMSメッセージ・通話履歴・ファイル・写真へのアクセス、ブラウザ履歴へのアクセスなどです。また、発見を回避し、侵害されたデバイス上で持続的に活動する能力にも優れています。
複数のGalaxyシリーズのスマートフォンが脆弱とされており、S22、S23、S24、さらにZ Fold 4とZ Flip 4が該当します。最新のSamsungフラッグシップ機種は安全と見られています。
被害者はイラク、イラン、トルコ、モロッコにいるとみられ、攻撃者はアラブ首長国連邦(UAE)に拠点を置くStealth Falconというグループの可能性が高いです。研究者はLandFallのC2インフラを分析してこの結論に至りました。Palo AltoはSamsungユーザーに対し、デバイスを常に最新の状態に保ち、特に添付ファイル付きの受信メッセージには十分注意するよう呼びかけています。
