반응형
LANDFALL: 상용급 안드로이드 스파이웨어 상세 설명
Unit 42 연구진이 발견하여 LANDFALL라고 명명한 이 스파이웨어는 상용급(Commercial-Grade)으로 제작된 새로운 안드로이드 스파이웨어이며, 특히 삼성 갤럭시(Samsung Galaxy) 기기를 표적으로 삼았습니다.
1. 주요 내용 및 특징
- 표적 및 지역: 삼성 갤럭시 장치를 특정 표적으로 했으며, 중동 지역 내의 표적 침입 활동에 사용되었습니다.
- 성격: 상용 스파이웨어 운영과 인프라 및 기술 패턴을 공유하며, **민간 부문 공격 주체(PSOAs, Private-Sector Offensive Actors)**와 관련이 있을 가능성이 높습니다.
- 활동 기간: 2024년 중반부터 활동하며 몇 달 동안 탐지되지 않은 채 활동했습니다.
- 현재 위험: 삼성은 해당 취약점을 2025년 4월에 패치했기 때문에, 현재 최신 업데이트를 적용한 사용자에게는 지속적인 위험이 없습니다.
2. 공격 경로 및 취약점 (Exploit Chain)
LANDFALL 스파이웨어는 여러 취약점을 연결하는 익스플로잇 체인(exploit chain)을 통해 전달되었습니다.
구분상세 내용
| 전달 매체 | WhatsApp과 같은 메시징 앱을 통해 전송된 것으로 추정되는 변형된 DNG 이미지 파일 (.dng, 디지털 네거티브 파일 형식) |
| 공격 방식 | 이미지 파일이 장치에서 처리될 때 자동으로 감염이 발생하는 제로-클릭(Zero-Click) 방식이었을 가능성이 높습니다. |
| 악용된 취약점 | 삼성의 이미지 처리 라이브러리인 libimagecodec.quram.so에 존재하는 치명적인 **제로-데이 취약점 (CVE-2025-21042)**을 악용했습니다. |
| 파일 구조 | 변형된 DNG 이미지 파일 끝에 ZIP 아카이브가 첨부되어 있으며, 이 ZIP 파일 내부에 스파이웨어 구성 요소가 포함되어 있습니다. |
3. 스파이웨어의 기능 (감시 능력)
LANDFALL은 포괄적인 감시 및 데이터 유출을 목적으로 설계되었습니다. 감염된 기기에서 다음과 같은 데이터를 수집할 수 있었습니다.
- 마이크 녹음
- 위치 추적 (Location Tracking)
- 사진 및 연락처 수집
- 통화 기록(Call logs) 수집
4. 스파이웨어 구성 요소
LANDFALL은 모듈식 스파이웨어이며, 악성 DNG 이미지 파일 내에는 최소 두 가지 주요 구성 요소가 포함되어 있었습니다.
- Loader (b.so):
- ARM64 ELF 공유 객체로, 스파이웨어의 메인 백도어 역할을 합니다.
- 자체 디버그 명칭으로는 **"Bridge Head"**라고 불립니다.
- SELinux 정책 조작자 (l.so):
- 디바이스의 SELinux 정책을 조작하여 LANDFALL에 높은 권한을 부여하고 지속성(persistence)을 확보하도록 설계되었습니다.
https://unit42.paloaltonetworks.com/landfall-is-new-commercial-grade-android-spyware/
LANDFALL: New Commercial-Grade Android Spyware in Exploit Chain Targeting Samsung Devices
Commercial-grade LANDFALL spyware exploits CVE-2025-21042 in Samsung Android’s image processing library. The spyware was embedded in malicious DNG files.
unit42.paloaltonetworks.com
반응형
'보안' 카테고리의 다른 글
| MongoDB 취약점 CVE-2025-14847 (0) | 2025.12.29 |
|---|---|
| 전세계 Cloudflare 장애 발생 (0) | 2025.11.18 |
| VoidProxy 피싱 서비스 (0) | 2025.09.13 |
| MeetC2, Google Calendar를 C2로 활용 (0) | 2025.09.07 |
| SAP S/4HANA 소프트웨어 CVE-2025-42957(CVSS 점수: 9.9) 취약점 (0) | 2025.09.06 |