サイバーセキュリティ企業 Unit 42 は、Samsung Galaxy デバイス上でゼロデイ脆弱性を悪用し、WhatsApp 経由で送信された画像を通じて携帯電話に侵入するスパイウェア攻撃を発見した。.
セキュリティ研究者は、この活動は2024年半ばから活発化しており、ユーザーの介入なしにデバイスを完全に監視できる高度なAndroidマルウェアを攻撃者が展開するのを手助けしていると警告している。.
この攻撃はサイバーセキュリティ研究者によって「LANDFALL」と名付けられ、2025年半ばにiOSのエクスプロイトサンプルの調査を開始した調査の後、9月に検出された。.
LANDFALLマルウェアがAndroid Samsungデバイスを攻撃
公開されたUnit 42の調査レポートによると、Android固有のマルウェアは、Digital Negative (DNG) 画像ファイルに隠されたiOSサンプル内に存在していた。
サムスンギャラクシースマートフォンの所有者の中には、「IMG-20240723-WA0000.jpg」のようなWhatsApp風の名前を見たという報告もあった。これらの名前は、2024年7月から2025年初頭にかけて、モロッコ、イラン、イラク、トルコなどの地域からVirusTotalにアップロードされたものだ。.
LANDFALLは、「CVE-2025-21042」と呼ばれるタイプのエクスプロイトを悪用します。これは、Samsungの画像処理ライブラリlibimagecodec.quram.soです。CVE-2025-12725もまた、Google製ブラウザChromeのグラフィック処理コンポーネントであるWebGPUにおける境界外書き込みエラーです。
この脆弱性は、活発な悪用が報告されたことを受けて2025年4月に修正されtracスパイウェアをインストールさせる。
Unit 42の報告によると、このスパイウェアは録音用のマイクを起動し、GPSでユーザーを tracし、写真、連絡先、通話履歴、メッセージなどの情報を巧妙に盗み出すという。影響を受けるSamsung Galaxyモデルには、S22、S23、S24、Zシリーズがあり、具体的にはAndroidバージョン13、14、15が搭載されている。.
このゼロデイ脆弱性はApple iOS、WhatsApp の開発者は、攻撃者が Apple の脆弱性とこの脆弱性を結び付けて、デバイスに悪意のある URL からのコンテンツを処理させていることを発見した。
LANDFALLの2番目の部分であるb.soは、標準ではない一時的なTCPポートを介してHTTPSを使用し、コマンドアンドコントロール(C2)サーバーに接続します。このマルウェアは、暗号化されたトラフィックを開始する前に、サーバーが稼働しているかどうかを確認するためにping信号を送信できます。この点については、レポートの技術付録で説明されています。.
HTTPS 接続がアクティブになると、b.so は、エージェント ID、デバイス パス、ユーザー ID など、感染したデバイスとスパイウェア インスタンスに関する詳細情報を含む POST 要求を送信します。.
9月、WhatsAppは関連する脆弱性(CVE-2025-21043)をSamsungに報告しました。メッセージング企業は、悪意のあるメッセージがオペレーティングシステムの欠陥を悪用
「調査の結果、WhatsAppを通じて悪意のあるメッセージが送信され、お使いのデバイスのOSに存在する他の脆弱性と組み合わされた可能性があることが判明しました」とMetaはセキュリティアップデートで述べています。「お客様のデバイスが侵害されたかどうかは確実にはわかりませんが、念のためお知らせいたします。」
先週、ニュースメディア「ザ・ペニンシュラ」は、この攻撃の根源は中東のモバイルデバイスに潜む国家関連のスパイウェアに trac可能性があると報じました。NSOグループの「ペガサス」、Cytox/Intellexaの「プレデター」、そしてGammaの「フィンフィッシャー・フィンスパイ」は、長年にわたり同様の攻撃に関連していました。.
Google、ゼロデイセキュリティ脆弱性への対策アップデートを提供
以前のGoogleのレポートによると、これらの攻撃者は2014年から2023年の間に同社製品に見つかったゼロデイ脆弱性のほぼ半数に関与していたという。先月、米国連邦裁判所はイスラエルのNSOグループに対し、スパイウェアを配布するためにWhatsAppをリバースエンジニアリングすることを禁じた。.
「ワッツアップなどの企業が『販売』しているものの一部は情報プライバシーであり、いかなる不正アクセスもその販売の妨害となる」とフィリス・ハミルトン米連邦地方判事は判決文で述べた。.
両社は先週、5件の重大なセキュリティ脆弱性に対処するため、Chromeバージョン142をリリースした。このうち3件は「高リスク」と評価されている。このアップデートは、Google Playからパッチが公開され、デスクトッププラットフォームとAndroidデバイスで利用可能となった。.
CVE-2025-12727 はパフォーマンス実行を担当する Chrome の JavaScript エンジン V8 に影響し、CVE-2025-12726 はブラウザのユーザー インターフェース マネージャー Chrome Views に影響します。.
サイバーセキュリティの専門家は現在、Samsung Galaxyユーザーに対し、CVE-2025-21042を修正する2025年4月のセキュリティアップデートを直ちに適用するよう求めている。.
