Samsung Galaxy Cihazlarını Hedef Alan “LANDFALL” Casus Yazılımı Ortaya Çıkarıldı: Türkiye de Saldırı Kapsamında
Palo Alto Networks’ün Unit 42 ekibi, Samsung Galaxy S22, S23, S24 modelleri ile Z Fold4 ve Z Flip4 gibi üst seviye cihazları hedef alan “LANDFALL” adlı ticari düzeyde bir Android casus yazılımını ortaya çıkardı. Yazılım, Samsung’un görüntü işleme kütüphanesindeki sıfır gün (zero-day) açığını kötü amaçlı DNG dosyalarıyla sömürerek cihazlara sızıyor. Türkiye, Irak, İran ve Fas gibi ülkelerdeki kullanıcıların saldırı kapsamında olduğu, altyapının ise Orta Doğu merkezli gelişmiş bir casusluk yapılanmasıyla örtüştüğü bildirildi. Samsung, Nisan 2025’te ana açığı, Eylül 2025’te benzer ikinci açığı kapattı.
Palo Alto Networks’ün tehdit araştırma birimi Unit 42, “LANDFALL” adını verdikleri yeni bir Android casus yazılım kampanyasını ortaya çıkardı. Saldırının, Samsung’un Galaxy S22, S23, S24 serileriyle birlikte Z Fold4 ve Z Flip4 gibi üst düzey modelleri hedef aldığı açıklandı. Araştırmacılar, bu cihazların Samsung’a özgü libimagecodec.quram.so adlı görüntü işleme bileşeninde yer alan CVE-2025-21042 güvenlik açığı üzerinden istismar edildiğini belirtti.
Hedef Ülkeler Arasında Türkiye de Var
Unit 42’nin raporuna göre LANDFALL saldırıları Türkiye, Irak, İran ve Fas başta olmak üzere bölgesel olarak kümelenmiş durumda. Araştırmacılar, bu nedenle LANDFALL’ın genel bir zararlı yazılım değil, bölgesel casusluk operasyonu olduğunu vurguladı.
Görsel Dosya Görünümlü Bulaşma Yöntemi
Casus yazılım, WhatsApp üzerinden gönderilen kötü amaçlı DNG formatındaki görseller aracılığıyla cihazlara sızıyor. Bozuk (malformed) dosya, görüntü işleme kütüphanesindeki açığı tetikleyerek casus modülleri cihazın sistem dizinlerine bırakıyor. Unit 42, bu istismarın kullanıcı etkileşimi gerektirmeden “zero-click” şeklinde gerçekleşebileceğini aktardı.
Casusluk Yetenekleri Geniş
LANDFALL; cihaz kimlik bilgileri, çağrı kayıtları, mikrofon sesleri, mesaj içerikleri, konum verileri, rehber ve kamera erişimleri gibi birçok veriyi toplama kapasitesine sahip. Bu yönüyle yazılım, siber gözetim ve saha takibi için profesyonel düzeyde tasarlanmış bir araç olarak tanımlandı.
Samsung Açıkları Nisan ve Eylül 2025’te Kapattı
Samsung, Nisan 2025’te LANDFALL tarafından sömürülen açığı giderdi, Eylül 2025’te ise aynı kütüphanedeki benzer bir zafiyeti (CVE-2025-21043) kapattı. Güvenlik yamalarının özellikle Galaxy S serisi ve katlanabilir modeller için kritik olduğu bildirildi.
Türkiye USOM Erken Uyardı
Türkiye Ulusal Siber Olaylara Müdahale Merkezi (USOM), 2025 yazında LANDFALL saldırısında kullanılan komuta kontrol (C2) alan adlarını “zararlı bağlantılar” listesine dahil etti. Bu durum, Türkiye’nin kampanyayı erken evrede tespit ettiğini gösterdi.
Orta Doğu Merkezli Casusluk Yapısı Şüphesi
Unit 42, LANDFALL’ın kullandığı altyapıların, daha önce Stealth Falcon / Project Raven gibi BAE merkezli ticari casusluk operasyonlarıyla benzerlik taşıdığını açıkladı. Araştırmacılar, yazılımın devlet kurumlarına hizmet veren özel sektör menşeli saldırı operatörlerince geliştirildiğini değerlendiriyor.
Ajans Expres Gazetesi
Tepkiniz Nedir?
