サムスンのスマホを狙う新たなスパイウェア-ゼロクリックで感染するサイバー攻撃キャンペーン|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2025年11月11日更新日時: 2025年11月10日

Palo Alto Networks の脅威調査チーム Unit 42 が、新たな Android 向けスパイウェア「LANDFALL」を公表しました。標的はサムスンギャラクシーシリーズ。

攻撃者はサムスンの画像処理ライブラリに存在したゼロデイ脆弱性（CVE-2025-21042）を突き、DNG（Digital Negative）形式の画像に細工してスパイウェアを仕込み、WhatsApp で送られた画像を端末が処理しただけで感染する、ゼロクリックのサイバー攻撃です。

1 概要
2 どう侵入するのか
3 影響範囲

概要

結論から言えば、この脆弱性自体は2025年4月のセキュリティ更新で修正済みです。加えてサムスンは2025年9月に同じライブラリの別の欠陥（CVE-2025-21043）にもパッチを出しています。とはいえ、修正前に実地で悪用されていた痕跡が確認された点、そして商用スパイウェア並みの完成度から、企業・公的機関が教訓を引き出すには十分なケースです。

どう侵入するのか

Unit 42 が見つけた DNG 画像は、ファイル末尾に ZIP アーカイブを埋め込むなどの細工が施されていました。脆弱なライブラリにこの画像を処理させると、ZIP から抽出された 2 つのモジュールが実行されます。

b.so：初期ロード兼バックドア。自身を「Bridge Head」と名乗るデバッグ痕跡があり、後段のモジュールをオンデマンドで取得・起動する役割。
l.so：SELinuxポリシーの操作を行うコンポーネント。権限制御をねじ曲げ、持続化や横展開を助けます。

この「画像→脆弱性悪用→埋め込みモジュール展開」という組み合わせは、2025年夏に報じられた iOS 向け DNG 解析ゼロデイ（CVE-2025-43300）＋ WhatsApp のゼロデイ（CVE-2025-55177）とよく似た攻撃観点です。Android 側でも画像処理の不備が狙われやすいことを、LANDFALLは改めて示しました。

Unit 42 が解析した b.so の振る舞いと文字列から読み取れる想定機能は以下の通りです

端末情報の特定：OS/ビルド、IMEI/IMSI、SIM情報、ユーザー、ネットワーク設定、アプリ一覧、位置情報ほか
データ流出：マイク・通話録音、通話履歴、連絡先、SMS/メッセージデータ、写真、任意ファイルや DB からの抽出
実行・常駐：共有ライブラリ/DEX のロード、プロセス注入、SELinux 改変、LD_PRELOAD を使った起動、WhatsApp メディア監視等
回避：デバッガ/Frida/Xposed 検知、名前空間を使った動的ロード、C2 通信用の証明書ピンニング、痕跡消し

C2 通信は HTTPS（非標準ポート）で、初回ビーコンに端末・エージェント情報を載せ、以降はXZ/LZMA 圧縮の次段ペイロード（共有ライブラリ）を受け取り、LD_PRELOAD で任意プロセスに割り込ませるといった、よく練られた流れをとります。

影響範囲

提出ログから、イラク／イラン／トルコ／モロッコでの観測が示唆されています。政府関係・NGO・報道機関・要人など、商用スパイウェアの常連ターゲットが優先された可能性は高いとされています。
一方で、パッチ未適用の Galaxy 端末が企業の BYOD として業務ネットワークに入り込んでいるケースは珍しくなく、モバイル由来の情報流出を招きかねません。

出典

LANDFALL: New Commercial-Grade Android Spyware in Exploit Chain Targeting Samsung Devices