사이버 보안 회사인 유닛 42는 삼성 갤럭시 기기에서 제로데이 취약점을 악용하여 왓츠앱을 통해 전송되는 이미지를 통해 휴대폰에 침투하는 스파이웨어 캠페인을 발견했습니다.
보안 연구원들은 해당 공격이 2024년 중반부터 활동해 왔으며, 공격자들이 사용자 상호 작용 없이 기기 전체를 감시할 수 있는 고급 안드로이드 악성 소프트웨어를 배포하는 데 도움을 준다고 경고합니다.
사이버 보안 연구원들은 이 공격을 'LANDFALL'이라고 명명했으며, 2025년 중반부터 시작된 iOS 취약점 샘플 조사 끝에 9월에 발견되었습니다.
LANDFALL 악성코드가 안드로이드 삼성 기기를 공격합니다
발표된 42부대의 조사 보고서에 따르면 , 안드로이드 전용 악성코드는 DNG(Digital Negative) 이미지 파일에 숨겨진 iOS 샘플 내에 존재했습니다.
일부 삼성 갤럭시폰 사용자들이 “IMG-20240723-WA0000.jpg”와 같은 WhatsApp 스타일의 파일 이름을 발견했다고 보고했습니다. 해당 파일들은 2024년 7월부터 2025년 초 사이에 모로코, 이란, 이라크, 터키 등지에서 VirusTotal에 업로드된 것으로 알려졌습니다.
libimagecodec.quram.so 의 취약점인 "CVE-2025-21042"를 이용합니다 . 또한, Google이 개발한 Chrome 브라우저의 그래픽 처리 구성 요소인 WebGPU에서 발생하는 경계 외 쓰기 오류인 CVE-2025-12725도 사용합니다.
해당 취약점은 패치 , 그 전에 여러 기기에서 ZIP 압축 파일이 추가된 DNG 파일이 변형되는 문제가 발생했습니다. Unit 42는 이 취약점이 취약한 라이브러리를 속여 공유 객체(.so) 라이브러리를 추출 및 실행하게 하여 기기에 스파이웨어를 설치하는 방식으로 trac 한다고 설명
Unit 42의 보고서에 따르면 해당 스파이웨어는 녹음을 위해 마이크를 활성화하고, GPS를 통해 사용자의 위치를 trac, 사진, 연락처, 통화 기록, 메시지 등의 정보를 은밀하게 빼돌립니다. 영향을 받은 삼성 갤럭시 모델은 S22, S23, S24, Z 시리즈이며, 특히 안드로이드 버전 13, 14, 15가 설치된 모델입니다.
이 제로데이 취약점은 Apple iOS , WhatsApp 개발자들은 공격자들이 Apple의 취약점과 이 결함을 결합하여 기기가 악성 URL의 콘텐츠를 처리하도록 강제하는 것을 발견했습니다.
LANDFALL의 두 번째 부분인 b.so는 표준이 아닌 임시 TCP 포트를 통해 HTTPS를 사용하여 명령 및 제어(C2) 서버에 연결합니다. 이 악성코드는 암호화된 트래픽을 시작하기 전에 서버가 작동 중인지 확인하기 위해 핑 신호를 보낼 수 있습니다. 이에 대한 자세한 설명은 보고서의 기술 부록에 있습니다.
HTTPS 연결이 활성화되면 b.so는 에이전트 ID, 장치 경로 및 사용자 ID를 포함하여 감염된 장치 및 스파이웨어 인스턴스에 대한 자세한 정보가 담긴 POST 요청을 전송합니다.
지난 9월, WhatsApp은 삼성에 관련 취약점(CVE-2025-21043)을 보고했습니다. WhatsApp은 악성 메시지가 운영체제의 결함을 악용하여 기기와 기기에 저장된 데이터를 손상시킬
"저희 조사 결과, 악성 메시지가 WhatsApp을 통해 귀하에게 전송되었으며, 귀하의 기기 운영 체제의 다른 취약점과 결합되었을 가능성이 있습니다."라고 Meta는 보안 업데이트를 통해 밝혔습니다. "귀하의 기기가 실제로 해킹당했는지 여부는 확실히 알 수 없지만, 만일의 사태에 대비하여 알려드리고자 합니다."
지난주, 지역 뉴스 매체인 더 페닌슐라는 이번 공격이 중동 지역 모바일 기기에 설치된 국가 연계 스파이웨어와 trac이 있을 수 있다고 보도했습니다. NSO 그룹의 페가수스, 사이톡스/인텔렉사의 프레데터, 그리고 감마의 핀피셔 핀스파이는 오랫동안 유사한 공격과 연관되어 온 것으로 알려져 있습니다.
구글은 제로데이 보안 취약점에 대응하는 업데이트를 제공합니다
구글의 이전 보고서에 따르면, 이러한 공격자들은 2014년부터 2023년까지 구글 제품에서 발견된 제로데이 취약점의 거의 절반을 차지했습니다. 지난달, 미국 연방 법원은 이스라엘 NSO 그룹이 스파이웨어를 배포하기 위해 왓츠앱을 역분석하는 것을 금지했습니다.
미국 연방지방법원 필리스 해밀턴 판사는 판결문에서 "왓츠앱과 같은 회사들이 '판매'하는 것 중 하나는 정보 프라이버시이며, 무단 접근은 이러한 판매를 방해하는 행위"라고 밝혔습니다.
구글은 지난주 크롬 버전 142를 출시하여 5개의 심각한 보안 취약점을 해결했으며, 그중 3개는 "높은 위험도" 등급을 받았다고 밝혔습니다. 이번 업데이트는 구글 플레이 스토어를 통해 배포된 패치를 통해 데스크톱 플랫폼과 안드로이드 기기에서 이용할 수 있게 되었습니다.
CVE-2025-12727은 성능 실행을 담당하는 Chrome의 JavaScript 엔진 V8에 영향을 미치고, CVE-2025-12726은 브라우저의 사용자 인터페이스 관리자인 Chrome Views에 영향을 미칩니다.
사이버 보안 전문가들은 현재 삼성 갤럭시 사용자들에게 CVE-2025-21042 취약점을 해결하기 위해 2025년 4월 보안 업데이트를 즉시 적용할 것을 권고하고 있습니다.
