LANDFALL adı verilen, Samsung Galaxy cihazlarını hedef alan, sıfır gün güvenlik açığından yararlanarak WhatsApp’ta paylaşılan zararsız görünen görüntüler aracılığıyla telefonlara sızmayı amaçlayan karmaşık bir casus yazılım operasyonu.
2024’ün ortasından beri aktif olan bu kampanya, saldırganların kullanıcı etkileşimi olmadan tam cihaz gözetimi yapabilen ticari sınıf Android kötü amaçlı yazılımlarını dağıtmasına olanak tanıdı.
Bu keşif, bu tür izinsiz girişlerin endişe verici derecede yaygın hale geldiği Orta Doğu’da devlet bağlantılı gözetim araçlarından kaynaklanan devam eden tehditlerin altını çiziyor.
Unit 42’nin araştırması 2025’in ortasında iOS istismar örneklerini incelerken başladı ve Digital Negative (DNG) görüntü dosyalarına gömülü Android’e özgü kötü amaçlı yazılımların ortaya çıkarılmasına yol açtı.
Genellikle “IMG-20240723-WA0000.jpg” gibi WhatsApp tarzı adlarla gizlenen bu dosyalar, Temmuz 2024 ile 2025’in başları arasında Fas, İran, Irak ve Türkiye gibi yerlerden VirusTotal’a yüklendi.
Araştırmacılar, LANDFALL’un, Samsung’un görüntü işleme kütüphanesi libimagecodec.quram.so’daki kritik bir kusur olan ve yaygın kullanım raporlarının ortaya çıkmasının ardından Nisan 2025’te yamalanan CVE-2025-21042’den yararlandığını belirledi.
Ağustos ve Eylül 2025’te açıklanan benzer iOS saldırılarının aksine, bu Android zinciri bu olaylardan önce gerçekleşti ve WhatsApp’ta hiçbir kusur göstermedi.
Operasyonun hassasiyeti, 2012’den bu yana Emirlik aktivistlerini vurmasıyla bilinen Stealth Falcon gibi satıcılarla altyapı örtüşmeleri ile geniş dağıtım yerine hedefli casusluk yapıldığını gösteriyor.
Samsung 0 Günlük WhatsApp Üzerinden Suistimal Edildi
Saldırı zinciri, eklenmiş bir ZIP arşivi içeren hatalı biçimlendirilmiş DNG dosyalarına dayanıyordu ve savunmasız kitaplığı, casus yazılımı yükleyen paylaşılan nesne (.so) kitaplıklarını ayıklaması ve yürütmesi için kandırıyordu.
LANDFALL, enfeksiyon üzerine saldırganlara kayıt yapmak, hassas GPS takibi yapmak ve fotoğraf, kişi, çağrı kaydı ve mesaj toplamak için mikrofonlara erişim izni verdi.
Özellikle Android 13 ila 15 sürümlerini çalıştıran S22, S23, S24 ve Z serisi gibi Galaxy modellerini hedef alarak mesajlaşma uygulamaları aracılığıyla sıfır tıklamayla dağıtıma olanak sağladı.
Bu, son iOS istismarlarındaki kalıpları yansıtıyor ancak platformlar arasında mobil görüntü işlemcilerinde tekrar eden bir zayıflığın altını çiziyor.
Samsung’un CVE-2025-21043 için Eylül 2025 yaması, aynı kitaplıktaki ilgili sıfır günü ele alarak gelecekteki görüntü tabanlı saldırılara karşı savunmayı güçlendirdi.
Yamalara rağmen kampanya, bölgesel gözetlemede özel sektör saldırı aktörlerinin (PSOA’lar) gizliliğini vurgulayarak neredeyse bir yıl boyunca tespit edilmekten kurtuldu.
Mevcut Samsung kullanıcıları için, her iki güvenlik açığı da kapatıldığı için risk azaldı, ancak ortaya çıkan açıklama, ticari casus yazılım satıcılarının kontrolsüz casusluk için hükümetlere nasıl araçlar sağladığını ortaya koyuyor.
Birim 42, belirli aktörlere atıf yapılmadığını belirtti ancak Orta Doğu odağı önceki PSOA operasyonlarıyla uyumludur. Uzmanlar, WhatsApp gibi uygulamalardaki görsel önizlemeleri konusunda dikkatli olmanızı tavsiye ediyor ve benzer tehditleri önlemek için zamanında güncelleme yapılmasını öneriyor.
Bu vaka, Pegasus’tan son iOS zincirlerine kadar bir dizi mobil istismar dalgasına katılıyor ve sıfır günlerin birincil silah olarak kaldığı bir silahlanma yarışının sinyalini veriyor.
Casus yazılımlar geliştikçe, Samsung gibi satıcılar ile araştırmacılar arasındaki işbirliği, saldırganları geride bırakmak için hayati önem taşıyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
