最近発見されたAndroidスパイウェアが、ゼロデイ脆弱性の悪用を通じてSamsungデバイスの所有者に配布されていたと、Palo Alto Networksが金曜日に報告しました。
Palo Alto NetworksによってLandfallと名付けられたこのスパイウェアは、CVE-2025-21042として特定された脆弱性を悪用しており、これはSamsungの画像処理ライブラリに影響し、リモートコード実行に利用される可能性があります。
攻撃者は、標的ユーザーに特別に細工されたDNG画像をWhatsApp経由で送信することでCVE-2025-21042を悪用したようです。攻撃はSamsung Galaxyスマートフォンを狙ったもので、脅威アクターはゼロクリックエクスプロイトを通じてLandfallを配布した可能性があります。
セキュリティ企業は、これまでに未知のWhatsAppの脆弱性は特定していないと述べています。
LandfallはSamsung Galaxy S22、S23、S24、Z Fold4、Z Flip4のスマートフォンを標的にすることができます。一度デバイスが感染すると、マルウェアはオペレーターに被害者のスパイ活動を可能にします。このスパイウェアはマイク録音、位置情報追跡、データ流出の機能を持ち、攻撃者は写真、連絡先、通話履歴を盗むことができます。
CVE-2025-21042はSamsungによって4月に修正されましたが、同社のアドバイザリには実際の悪用については言及されていません。Palo Altoによると、Landfall攻撃は少なくとも2024年7月以降に行われており、Samsungがパッチをリリースする前にCVE-2025-21042がゼロデイとして悪用されていました。
CVE-2025-21042は、最近Samsungが同じ画像ライブラリで修正した別のゼロデイであるCVE-2025-21043と類似しています。MetaとWhatsAppによって報告されたCVE-2025-21043はリモートコード実行を可能にし、スパイウェアベンダーによって悪用された可能性も高いです。
「私たちが発見したLandfallのサンプルではCVE-2025-21043は悪用されていませんでしたが、Landfall(CVE-2025-21042)のエクスプロイトとこの脆弱性(CVE-2025-21043)との類似点は顕著です。両方の脆弱性はほぼ同時期に公開され、どちらもモバイル通信アプリケーションを通じて配信されたDNG画像ファイルの処理に関連しています」とPalo Alto Networksは説明しています。
CVE-2025-21043の公開数週間前に、AppleはCVE-2025-43300という類似の脆弱性を修正しました。これは、CVE-2025-55177として追跡されているWhatsAppのゼロデイと組み合わせて、Appleの顧客にスパイウェアを配信するために利用されたと考えられています。
Palo Alto Networksは、CVE-2025-43300/CVE-2025-55177のエクスプロイトチェーンがiOSユーザーにLandfallスパイウェアを配信するために使われたかどうかを確認できませんでした。
また、セキュリティ企業はLandfallマルウェアを既知の商用スパイウェアベンダーに帰属させることができず、現在CVE-2025-21042攻撃の背後にいる脅威アクターをCL-UNK-1054として追跡しています。
UAEと関連のあるStealth Falconグループとのいくつかの関連が見つかっていますが、Palo AltoはLandfallをこの脅威アクターに結びつける決定的な証拠は発見していません。さらに、マルウェアコンポーネントの命名規則から、スパイウェアはNSO、Variston、Cytroxなど他の監視企業によって開発された可能性も示唆されています。
Palo Alto Networksが分析した悪意あるDNGファイルのサンプルによると、Landfall攻撃はイラン、イラク、トルコ、モロッコを含む中東および北アフリカの個人を標的にしていることが示唆されています。
翻訳元: https://www.securityweek.com/landfall-android-spyware-targeted-samsung-phones-via-zero-day/
