はじめに：Galaxyスマホを狙った「Landfall」スパイウェア

セキュリティ研究者たちは、約1年間にわたるハッキングキャンペーンでサムスンGalaxyスマートフォンを標的としたAndroidスパイウェア「Landfall」を発見しました。Palo Alto NetworksのUnit 42によると、このスパイウェアは2024年7月に初めて検出され、当時サムスンに知られていなかったGalaxyスマートフォンのソフトウェアのゼロデイ脆弱性を悪用していました。

ゼロデイ脆弱性の詳細と攻撃手法

この脆弱性（追跡番号：CVE-2025-21042）は、悪意を持って作成された画像を被害者のスマートフォンに送信することで悪用される可能性があり、メッセージングアプリを通じて配信されたと考えられています。Unit 42は、この攻撃が被害者による操作を必要としなかった可能性があると指摘しています。サムスンは2025年4月にこのセキュリティ欠陥を修正しましたが、スパイウェアキャンペーンの詳細はこれまで報告されていませんでした。

標的と攻撃の性質

研究者たちは、Landfallスパイウェアを開発した監視ベンダーや、キャンペーンで標的とされた個人の数は不明であると述べています。しかし、攻撃は中東の個人を標的とした可能性が高く、特定の個人に対する「精密攻撃」であり、大規模なマルウェア配布ではなかったことから、スパイ活動が目的であったことを示唆しています。

Unit 42は、Landfallスパイウェアが、以前からアラブ首長国連邦のジャーナリスト、活動家、反体制派に対するスパイウェア攻撃で確認されている既知の監視ベンダー「Stealth Falcon」とデジタルインフラを共有していることを発見しました。この関連性は興味深いものの、特定の政府顧客に攻撃を明確に帰属させるには至っていません。

スパイウェアの拡散と機能

Landfallスパイウェアのサンプルは、2024年から2025年初頭にかけて、モロッコ、イラン、イラク、トルコの個人によってマルウェアスキャンサービスVirusTotalにアップロードされていました。トルコの国家サイバー準備チーム（USOM）は、Landfallスパイウェアが接続していたIPアドレスの1つを悪意のあるものとしてフラグ付けしており、トルコの個人が標的とされたという説を裏付けています。

他の政府系スパイウェアと同様に、Landfallは広範なデバイス監視が可能です。これには、被害者の写真、メッセージ、連絡先、通話履歴などのデータへのアクセス、デバイスのマイク盗聴、正確な位置追跡が含まれます。Unit 42は、スパイウェアのソースコードがGalaxy S22、S23、S24、および一部のZモデルを含む5つの特定のGalaxyスマートフォンを標的としていたことを確認しました。この脆弱性は他のGalaxyデバイスにも存在し、Androidバージョン13から15に影響を与えた可能性があるとされています。

元記事: https://techcrunch.com/2025/11/07/landfall-spyware-abused-zero-day-to-hack-samsung-galaxy-phones/