サムスンのスマートフォンで年間を通して極めて危険なマルウェアが発見される

サムスンのスマートフォンにマルウェアが発見された。写真： Dailyrecord 。

パロアルトネットワークスの脅威情報部門であるユニット42の研究者は、サムスンギャラクシー携帯電話をターゲットにした「Landfall」と呼ばれる高度なスパイウェアプログラムを明らかにした。

研究者によると、この攻撃はサムスンのAndroidソフトウェアに存在するゼロデイ脆弱性を悪用して大量の個人情報を盗むもので、約1年間活動を続けていた。この脆弱性は現在修正されており、攻撃は特定のグループを標的としていたようだ。

Unit 42によると、Landfallは2024年7月に初めて出現し、CVE-2025-21042という識別子で記録されたという。サムスンは2025年4月に自社のデバイス向けのパッチをリリースしたが、攻撃の詳細はつい最近になって明らかになった。

研究チームは、Landfallが中東で特定の個人を追跡するために使用されたと考えています。そのため、パッチが公開される前にこのマルウェアに感染する可能性は依然として非常に低いです。これらの攻撃の背後に誰がいるのかは依然として不明です。

Landfallは「ゼロクリック」攻撃であるため、特に危険です。つまり、ユーザーの操作なしにシステムに侵入できるのです。Unit 42は、Apple iOSとWhatsAppで修正済みの類似のバグ2件に気付いた後に、この脆弱性を発見しました。

これら2つの脆弱性を組み合わせると、リモートコード実行が可能になる可能性があるため、チームは同様のエクスプロイトを探し始めました。そして、疑わしいファイルやリンクをスキャンするサービスであるVirusTotalにアップロードされた複数の悪意のある画像ファイルを発見し、Landfall攻撃の痕跡を明らかにしました。

Landfall の仕組み。写真: Unit 42。

通常、画像ファイルは実行ファイルではありませんが、一部のファイルは悪意のあるコードを含むように改変される可能性があります。Landfallの場合、攻撃者はTIFF形式をベースにしたRAW画像ファイルの一種であるDNGファイルを使用し、そこに悪意のあるコードを含むZIPファイルを埋め込みました。

パッチ適用前、Samsungのスマートフォンには画像処理ライブラリに脆弱性がありました。ディスプレイ用の悪意のある画像処理システムは、ZIPファイルから共有ライブラリファイルを解凍し、意図せずLandfallスパイウェアを実行してしまう可能性がありました。

このマルウェアは、デバイスのSELinuxポリシーを改変し、拡張権限を盗み、データにアクセスします。Unit 42は、このマルウェアがGalaxy S22、S23、S24、Z Flip4、Z Fold4など、特定のSamsung製スマートフォンモデルを参照していることを指摘しています。

Landfall は起動すると、デバイスの基本情報を送信するリモートサーバーと通信します。攻撃者は、ユーザーID、ハードウェアID、インストール済みアプリケーション、連絡先、デバイスに保存されているすべてのファイル、閲覧履歴など、膨大なデータを抽出できるほか、カメラとマイクを起動してユーザーをスパイする可能性もあります。

スパイウェアの削除も容易ではありません。LandfallはSELinuxポリシーに干渉する能力を持つため、システムに深く侵入し、検出を回避するための多くのツールを備えています。

VirusTotalにアップロードされたファイルに基づき、Unit 42は、Landfallが2024年から2025年初頭にかけて、主にイラク、イラン、トルコ、モロッコで活動していたと推測しています。Samsungによると、この脆弱性はAndroid 13からAndroid 15までのソフトウェアに存在する可能性があります。

この攻撃は対象範囲が非常に狭く、標的が明確でしたが、技術情報が公開されたため、他の攻撃者も同様の手法を用いてパッチ未適用のデバイスに侵入する可能性があります。そのため、Samsungユーザーは、デバイスが2025年4月以降のパッチに更新されていることを確認する必要があります。

出典: https://znews.vn/ma-doc-dac-biet-nguy-hiem-nam-บน-smartphone-samsung-ca-nam-post1601170.html