삼성 갤럭시폰 제로데이 취약점 악용…‘랜드폴’ 스파이웨어 유포

삼성전자 최신 갤럭시 모델 겨냥...스마트폰 저장된 민감 정보 탈취
이란 연계 해커 그룹 의심

[보안뉴스 김형근 기자] 삼성 갤럭시 스마트폰 취약점을 악용한 스파이웨어 설치 공격이 포착됐다.

안드로이드 기기의 제로데이 취약점 ‘CVE-2025-21042’이 ‘랜드폴’(LANDFALL)이라는 스파이웨어를 피해자 휴대폰에 몰래 설치하는 공격에 실제 활용됐다고 팔로알토네트웍스 유닛42가 밝혔다.

[자료: 게티이미지뱅크]

이 스파이웨어는 갤럭시 S22와 S23, S24 시리즈와 Z폴드 4, Z플립 4 등 삼성전자 최근 플래그십 스마트폰 제품군을 겨냥해 맞춤 제작됐다.

악용된 취약점은 ‘libimagecodec.quram.so’ 구성 요소 내 ‘범위를 벗어난 쓰기’(out-of-bounds write) 결함이다. 이를 이용하면 원격 공격자가 임의 코드를 실행할 수 있다. 삼성은 이 문제를 4월 패치했다.

유닛42가 ‘CL-UNK-1054’로 분류해 추적하고 있는 이 공격 활동의 잠재적 표적은 이라크, 이란, 튀르키예, 모로코 등 중동 지역인 것으로 파악됐다.

왓츠앱 DNG 파일 이용한 제로 클릭 공격
이 스파이웨어는 왓츠앱 메시지를 통해 DNG(Digital Negative) 파일 형태의 악성 이미지를 전송하는 방식으로 공격한다. 이 같은 랜드폴 공격 흔적은 작년 7월까지 거슬러 올라간다.

▲랜드폴 공격 개요 [자료: 유닛42]

가장 우려되는 점은 공격이 제로 클릭 방식으로 이루어졌을 가능성이 높다는 것이다. 사용자의 어떠한 상호 작용이나 클릭 없이 CVE-2025-21042 취약점 악용이 자동으로 실행된다.

랜드폴이 일단 설치 및 실행되면, 마이크 녹음이나 위치 정보, 사진, 연락처, SMS, 파일, 통화 기록 등 민감한 데이터를 수집하는 포괄적인 스파이 도구로 작동한다.

SE리눅스 조작 및 스텔스팔콘 연관성
분석된 DNG 파일에는 파일 끝에 ZIP 파일이 포함되어 있으며, 이는 압축 파일에서 공유 객체 라이브러리를 추출해 스파이웨어를 실행한다.

또 이 압축 파일에는 디바이스의 SE리눅스(SELinux) 정책을 조작해 랜드폴에 승격된 권한을 부여하고 지속성을 확보하도록 돕는 다른 공유 객체가 들어있다. 랜드폴을 로드하는 공유 객체는 C2 서버와 통신해 후속 페이로드를 수신한다.

이 캠페인의 배후는 아직 밝혀지지 않았다. 다만, 랜드폴의 C2 인프라와 도메인 등록 패턴이 이란 연계 해커 그룹 ‘스텔스 팔콘’(Stealth Falcon)과 유사하다는 분석이 제기된다.

[김형근 기자(editor@boannews.com)]

우리나라 정보보호 수준 향상을 위해 이재명 정부에게 가장 바라는 점은 무엇인가요?
	ISMS 등 보안 인증 제도 실효성 개선
	AI 보안, 양자보안 등 보안 기술 연구개발 지원 확대
	중소 기업 보안 지원 확대
	기업 보안 예산 비율 의무화
	국가 정보보호 거버넌스 체계 정비
	기타(댓글로)