해당 LANDFALL 스파이웨어는 스파이웨어를 유포하기 위해 삼성 안드로이드 이미지 처리 라이브러리의 제로데이 취약점(CVE-2025-21042)을 악용을 하는 것이 특징이며 LANDFALL이 악용한 특정 취약점인 CVE-2025-21042는 단발적인 사례가 아니라 여러 모바일 플랫폼에서 발견되는 유사한 문제의 광범위한 패턴의 일부
ファイル名: WhatsApp Image 2025-02-10 at 4.54.17 PM.jpg
サイズ: 7MB
MD5:f5e2cba0e919ab2865909f76ee2a0232
SHA-1:8f5d1d9c85e542290d8e532039ad040c3a8df2da
SHA-256:9297888746158e38d320b05b27b0032b2cc29231be8990d87bc46f1e06456f93
여기서 exif 를 보면 캐논 보급형 DSLR 350D로 등록된 것을 확인할 수가 있습니다.
해당 취약점은 삼성이 2025년 4월 패치를 발표하기 전까지 실제 공격 사례가 보고되고 활발하게 악용이 된 취약점입니다.
LANDFALL은 WhatsApp을 통해 전송된 것으로 보이는 악성 이미지 파일(DNG 파일 형식)에 내장이 돼 있는 것이 특징이며 LANDFALL 스파이웨어는 이미 2024년 중반부터 활발하게 운영 중이었고 수정되기 몇 달 전에 안드로이드, 삼성의 제로데이 취약점(CVE-2025-21042)을 활발하게 악용이 되고 있던 취약점입니다.
2025년 4월부터 패치 되어 현재 삼성 사용자에게는 작동은 안 하겠지만, 패치를 하지 않고 그냥 나는 전화만 되고 카메라만 되고 카카오톡만 되고 이러면 됨 업데이트 그것은 먹는 것임 이러고 있으며 악용이 됩니다. 즉 업데이트 안함 사람은 유효한 공격
TIFF 이미지 형식을 기반으로 하는 원시 이미지 파일 형식입니다. 발견된 잘못된 DNG 이미지 파일에는 파일 끝에 ZIP 압축 파일이 포함되어 있으며 압축 파일의 내용이 파일 끝 부분에서 시작하는 위치를 하는 것을 확인할 수가 있습니다.
삼성의 이미지 처리 라이브러리 libimagecodec.quram.so의 취약점인 CVE-2025-21042를 악용하는 것으로 앞서 이야기한 것처럼 2025년4월에 패치함
파일명에 WhatsApp Image나 WA000과 같은 문자열이 포함된 것은 공격자가 WhatsApp을 통해 내장된 안드로이드 스파이웨어를 퍼트리려고 시도했을 가능성이 큰 것으로 학인을 할 수가 있으며 애플 기기를 대상으로 WhatsApp을 통해 유사한 DNG 이미지 기반 악용이 이루어졌다는 이전 공개 보고와 일치
WhatsApp 연구진은 유사한 DNG 취약점인 CVE-2025-21043을 확인하여 삼성에 보고
물론 PDF 파일을 악용하는 때도 있음
악성코드 감염 시 획득하려는 정보
OS 버전
하드웨어 ID(IMEI)
SIM,가입자 ID(IMSI)
SIM 카드 일련번호
사용자 계정
음성,문자 번호
네트워크 구성
설치된 애플리케이션 인벤토리 작성
위치 서비스 액세스
VPN 상태
USB 디버깅 상태
블루투스
마이크 녹음
통화 녹음
통화 내역
연락처 데이터베이스
SMS,메시징 데이터
카메라 사진
임의의 파일
기기의 데이터베이스(검색 기록 등)
네이티브 공유 객체( .so ) 모듈 로딩
메모리와 디스크에서 DEX 파일 로드 및 실행
프로세스 주입
LD_PRELOAD를 통해 실행
임의의 명령 실행
SELinux 조작
지속성 확보
압축 바이너리를 통한 SELinux 정책 수정
추가 페이로드를 위한 WhatsApp 미디어 디렉터리 모니터링
WhatsApp 웹 클라이언트 등록
Android 앱 디렉토리의 파일 시스템 조작
파일 시스템 조작
TracerPid 디버거 감지
Frida 계측 프레임워크 감지
Xposed 프레임워크 감지
네임스페이스 조작을 통한 동적 라이브러리 로딩
C2 통신을 위한 인증서 고정
WhatsApp 이미지 페이로드 정리
영향을 삼성 갤럭시 장치 모델 및 펌웨어
갤럭시 S23 시리즈(S91[168]BXX.X)
갤럭시 S24 시리즈(S921BXXU1AWM9, S92[168]BXX.)
갤럭시 Z 폴드4 (F936BXXS4DWJ1)
갤럭시 S22 (S901EXXS4CWD1)
갤럭시 Z 플립4(F721BXXU1CWAC)
S91[168]BXX:Galaxy S23 시리즈 S911은 Galaxy S23,S916은 Galaxy S23+,S918은 Galaxy S23 Ultra<-펌웨어 빌드 번호
S921BXXU1AWM9:Galaxy S24 (SM-S921 모델) S921은 Galaxy S24 기본 모델
해당 코드는 U1AWM9 을 가진 펌웨어 빌드입
S92[168]BXX:Galaxy S24 시리즈 S921 (S24),S926 (S24+),S928 (S24 Ultra)를 나타내며 해당 시리즈의 펌웨어 빌드 번호
F936BXXS4DWJ1:Galaxy Z Fold4 (SM-F936 모델)->F936은 Galaxy Z Fold4를 나타냅내며 정 업데이트 버전(S4DWJ1)을 가진 펌웨어
S901EXXS4CWD1:Galaxy S22 (SM-S901 모델)->S901은 Galaxy S22 기본 모델
업데이트 버전(EXXS4CWD1)을 가진 펌웨어 빌드
F721BXXU1CWAC->Galaxy Z Flip4 (SM-F721 모델) F721은 Galaxy Z Flip4를 나타내며 업데이트 버전(U1CWAC)을 가진 펌웨어 빌드
C2
b.so 요소는 비표준 임시 TCP 포트를 사용하여 HTTPS를 통해 C2 서버와 통신
에이전트 ID
장치 경로
사용자 ID
장치 및 스파이웨어 정보가 포함된 POST 요청으로 연결을 시작
조작된 DNG 파일을 사용한 것은 DNG 이미지 처리 라이브러리 내의 취약점을 악용하는 것임
요약
LANDFALL은 삼성 갤럭시 기기를 대상으로 특별히 설계된 안드로이드 스파이웨어
중동 지역에서 타깃을 둔 침입 활동에 사용
LANDFALL은 마이크 녹음, 위치 추적, 사진, 연락처, 통화 기록 수집 등 포괄적인 감시를 가능하게 함
스파이웨어는 CVE-2025-21042를 악용하는 잘못된 DNG 이미지 파일을 통해 배포
CVE-2025-21042는 삼성의 이미지 처리 라이브러리에 존재하는 심각한 제로데이 취약점으로, 실제로 악용
해당 공격 체인에는 최근 iOS와 Samsung Galaxy에서 발견된 공격 체인과 유사하게 악의적으로 제작된 이미지를 사용한 제로클릭 공격이 포함될 가능성이 있음
중동의 상업용 스파이웨어 작전과 인프라 및 무역 기술 패턴을 공유 민간 부문의 공격적 행위자(PSOA)와의 연관성을 시사
즉 한국하고 상관없다고 하지만 그래도 스마트폰에 있는 취약점으로 해당 취약점을 악용해서 다른 악성코드 실행 가능할 수가 있으므로 그냥 조금 귀찮더라도 보안 업데이트는 하는 습관을 가져야 함
'소프트웨어 팁 > 보안 및 분석' 카테고리의 다른 글
| 불법음원 MP3 파일로 유포 되는 악성코드-Gosisong_ada.mp3 (0) | 2025.11.26 |
|---|---|
| 김수키(Kimsuky) 이메일 로 유포 하는 악성코드-건강검진 안내서.alz (7) | 2025.11.24 |
| 북한 김수키(Kimsuky) 에서 만든 악성코드-KB국민은행 거래내역 제출 안내서.hwp.lnk (0) | 2025.11.21 |
| 김수키(Kimsuky) 웨딩사진 보정 업체를 통한 악성코드 공격-1740489988221-19.jse (0) | 2025.11.19 |
| 카카오톡 유포된 북한 해킹 단체 코니(Konni) 스마트폰 공격을 위한 악성코드-스트레스클리어 (0) | 2025.11.17 |
| 파이어폭스 145.0 보안 업데이트 및 기능 업데이트 (0) | 2025.11.16 |
| 윈도우 11 윈도우 10 KB5068861,KB5068865,KB5068781 누적 업데이트 (0) | 2025.11.13 |
| 북한 해킹 조직 김수키(Kimsuky)에서 만든 악성코드-ttt.bat (0) | 2025.11.12 |
