close
프로필 배경
프로필 로고

일상 나누기

IT 소식 뉴스/IT 소식 · 2025. 11. 10. fullscreen 넓게보기

삼성 갤럭시 제로데이 악용 스파이웨어 ‘랜드폴’ 유포 — 중동 표적 공격 발견

반응형
삼성 갤럭시 제로데이 악용 스파이웨어 ‘랜드폴’ 유포 — 중동 표적 공격 발견

삼성 갤럭시 제로데이 악용 스파이웨어 ‘랜드폴’ 유포 — 중동 표적 공격 발견

중동 지역을 겨냥한 표적형 공격에서 삼성전자 갤럭시 안드로이드 기기의 보안 취약점이 제로데이(Zero-day) 형태로 악용되어, 상용급 스파이웨어 ‘랜드폴(LANDFALL)’이 유포된 사실이 확인됐다.

이 스파이웨어는 사진, 통화기록, 위치정보, 문자메시지 등 민감한 정보를 수집하는 정찰형 악성코드로, 보안 업계는 해당 공격이 이미 2024년 하반기부터 지속적으로 수행된 것으로 분석했다.

1️⃣ 제로데이 취약점 CVE-2025-21042

보안업체 팔로알토네트웍스(Palo Alto Networks)의 위협 인텔리전스 조직 유닛42(Unit 42)는, 이번 공격이 삼성 갤럭시 기기의 이미지 처리 라이브러리 libimagecodec.quram.so의 취약점을 이용했다고 밝혔다.

이 취약점 (CVE-2025-21042)는 “범위 밖 쓰기(Out-of-bounds Write)” 결함으로, 공격자가 원격에서 악성 코드를 실행할 수 있게 한다.

삼성전자는 2025년 4월 보안 업데이트 (SMR Apr-2025 Release 1)를 통해 해당 취약점을 수정했으나, 유닛42는 “패치 이전 이미 실전 공격에서 활용된 정황이 확인됐다”고 전했다.

2️⃣ 악성 DNG 이미지 파일을 통한 감염

공격자는 왓츠앱(WhatsApp)을 통해 전송된 이미지 파일로 위장한 DNG 포맷을 이용했다. 파일명은 “WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg” 등 일반 사진처럼 보이도록 설정됐다.

이 DNG 내부에는 ZIP 파일이 숨겨져 있었고, 익스플로잇 실행 시 스파이웨어 로더(.so 파일)를 추출·실행했다. 이후 SELinux 정책을 조작해 권한을 상승시키고 지속적인 상주를 유지했다.

3️⃣ 랜드폴 감염 대상 및 기능

  • 대상 기기: 갤럭시 S22, S23, S24, Z 폴드4, Z 플립4
  • 주요 기능:
    • GPS 위치 추적 및 실시간 이동 모니터링
    • 통화·문자·사진·파일 접근
    • 마이크 녹음 및 원격 업로드
    • HTTPS 명령제어(C2) 통신
💡 랜드폴은 모듈형 스파이웨어로, 추가 모듈을 다운로드해 감시 기능을 확장할 수 있도록 설계되어 있습니다.

4️⃣ 공격 배후와 지리적 범위

피해 지역은 주로 이라크, 이란, 튀르키예(터키), 모로코로 집중됐다. 유닛42는 이번 활동을 내부적으로 ‘CL-UNK-1054’로 명명했으며, 인프라 구조와 도메인 패턴이 스텔스 팔콘(Stealth Falcon) 또는 프루티아머(FruityArmor)와 유사하다고 분석했다.

5️⃣ 연쇄 취약점과 향후 위협

삼성전자는 2025년 9월 동일 라이브러리에서 또 다른 고위험 취약점 CVE-2025-21043을 패치했으며, CVSS 8.8 수준의 심각도를 갖는다. 이번 캠페인에서는 해당 취약점이 직접 사용된 증거는 없으나, 유사 공격 재활용 가능성이 제기되고 있다.

같은 시기, 애플 iOS·macOS왓츠앱(iOS/macOS)에서도 이미지 파서 취약점이 연쇄적으로 악용된 캠페인이 발견되어, 모바일 플랫폼 전반의 취약점 관리 중요성이 부각되었다.

6️⃣ 보안 권고 및 대응 방안

  • 갤럭시 사용자는 2025년 4월 보안 패치 이후 버전으로 업데이트 필수
  • 기업 MDM 환경에서는 보안 미적용 단말 식별 및 격리 조치
  • 왓츠앱 등 메신저를 통한 이미지 파일 자동 다운로드 비활성화
  • 비정상 HTTPS 트래픽 및 권한 상승 로그 주기적 점검

팔로알토네트웍스 연구진은 “공격이 중단된 것으로 보이지만, 일부 인프라가 여전히 온라인 상태로 존재한다”며, “향후 유사한 공격이 재발할 가능성을 경고한다”고 덧붙였다.

🔎 요약

  • 제로데이 취약점 CVE-2025-21042, 삼성 갤럭시 기기 대상 악용
  • 왓츠앱 통해 DNG 이미지로 스파이웨어 ‘랜드폴’ 유포
  • 플래그십 모델(S22~S24, 폴드4, 플립4) 주요 피해
  • 중동 지역 표적, 스텔스 팔콘 연계 가능성
  • 2025년 4월 이후 보안 패치 반드시 적용 필요

모바일 플랫폼 보안은 이제 단순한 앱 권한 관리 단계를 넘어, 이미지·미디어 처리 단계까지 보호해야 하는 시대에 진입했다. 사용자는 보안 패치를 즉시 적용하고, 출처가 불분명한 파일 수신을 자제해야 한다.

반응형
LIST
저작자표시 변경금지 (새창열림)

'IT 소식 뉴스 > IT 소식' 카테고리의 다른 글

PROMPTFLUX — 제미나이 API로 자체 난독화·재작성하는 VBS 악성코드 분석  (0) 2025.11.11
구글 맵 리뷰폭탄 협박 — 사업주 대응 요령 및 신고 절차  (0) 2025.11.11
eBPF 기반 백도어 위협 — 서버 보안의 구조적 대응 필요  (0) 2025.11.10
DeskTOP Windows 11 라이선스와 180일의 진실  (5) 2025.11.09
VM에서 Windows 11 라이선스 180일?  (2) 2025.11.08
IT 소식 뉴스/IT 소식 관련 글
더 보기

티스토리툴바