CISA, Samsung mobil cihazlarını etkileyen bir güvenlik açığı olan CVE-2025-21042’yi Bilinen Suistimal Edilen Güvenlik Açıkları (KEV) kataloğuna ekledi ve ABD federal sivil kurumlarına Aralık ayının başına kadar bu güvenlik açığını gidermeleri talimatını verdi.
Siber Güvenlik ve Altyapı Güvenliği Ajansı, “Bu tür bir güvenlik açığı, kötü niyetli siber aktörler için sık görülen bir saldırı vektörüdür ve federal kuruluş için önemli riskler oluşturur” dedi.
Bu özel durumda, federal kurumlar için tehlike normalden daha yüksek olabilir; çünkü bu güvenlik açığının muhtemelen devlet kurumları adına ticari sınıf Android casus yazılımları dağıtmak için kullanıldığı bildiriliyor.
CVE-2025-21042 Hakkında
CVE-2025-21042, sınırların dışında bir yazma güvenlik açığıdır. libimagecodec.quram.so Samsung mobil cihazları tarafından görüntü işleme için kullanılan kütüphane. Uzaktaki saldırganların savunmasız bir cihazda rastgele kod çalıştırmasına izin verebilir.
Nisan 2025’te CVE-2025-21042 için bir düzeltme yayınlandı, ancak önceki aylarda saldırganlar tarafından LANDFALL casus yazılımını dağıtmak için kullanıldı.
Palo Alto Networks araştırmacıları, “Kötüye kullanım zinciri muhtemelen iOS ve Samsung Galaxy’de görülen son istismar zincirlerine benzer şekilde, kötü niyetli olarak hazırlanmış görüntüler kullanılarak sıfır tıklamayla teslimatı içeriyordu” dedi.
“Bu yöntem, bir istismar zincirine çok benziyor. [an iOS zero-day vulnerability affecting DNG image parsing] Ve [a WhatsApp zero-day vulnerability] Ağustos 2025’te dikkat çekti. Aynı zamanda muhtemelen açıklanan benzer bir sıfır gün güvenlik açığı (CVE-2025-21043) kullanılarak meydana gelen bir yararlanma zincirine de benziyor. [and patched] Eylül ayında [2025].”
LANDFALL casus yazılımı hakkında
Araştırmacılar, “2024 boyunca ve 2025’in başlarında VirusTotal’a yüklenen, yerleşik Android casus yazılımı içeren, daha önce tespit edilmemiş birkaç DNG görüntü dosyası” keşfettiler ve dosya adları, bunların WhatsApp aracılığıyla teslim edildiğini gösteriyor.
Araştırmacılar, “Keşfettiğimiz hatalı biçimlendirilmiş DNG görüntü dosyalarının, dosyanın sonuna eklenmiş gömülü bir ZIP arşivi var” diye açıkladı.
“Bu istismar, LANDFALL casus yazılımını çalıştırmak için paylaşılan nesne kitaplığı (.so) dosyalarını gömülü ZIP arşivinden çıkarıyor.”
Örneklerin daha sonra yapılan analizi, gömülü modüler casus yazılımın özellikle Samsung Galaxy cihazları için tasarlandığını ortaya çıkardı.
Yetenekleri arasında cihaz parmak izi alma (yani cihaz hakkında bilgi toplama, yüklü uygulamalar, VPN durumu vb.) ve veri sızması yer alır: casus yazılım mikrofonu açabilir, aramaları kaydedebilir, kişileri toplayabilir, SMS/mesaj verilerini ve fotoğrafları alabilir vb.
Ayrıca cihaz üzerinde kalıcı olarak varlığını kullanıcıdan gizlemeye yönelik eylemler ve mobil güvenlik çözümleri gerçekleştirebilmektedir.
“Yükleyicinin analizi ticari düzeyde faaliyetin kanıtlarını ortaya koyuyor” diye eklediler.
“Ancak, casus yazılımın bir sonraki aşamadaki bileşenlerini doğrudan analiz etmedik. Bununla veya tam dağıtım yöntemiyle ilgili ek ayrıntılar, kötü amaçlı etkinliğe ilişkin daha fazla bilgi sağlayacaktır.”
Saldırı ilişkilendirmesi
Kötü amaçlı DNG dosyalarına ilişkin VirusTotal gönderim verilerine göre, casus yazılımın potansiyel hedefleri İran, Türkiye ve Fas’ta bulunuyordu.
Araştırmacılar, “Türkiye’nin ulusal CERT (…) LANDFALL’un C2 sunucuları tarafından kullanılan IP adreslerini kötü amaçlı, mobil ve APT ile ilişkili olarak bildirdi; bu da Türkiye’deki mağdurların olası hedeflenmesini destekliyor” dedi.
LANDFALL’ın C2 altyapısı ve etki alanı kayıt kalıpları, Birleşik Arap Emirlikleri’ndeki gazetecilere ve aktivistlere yönelik hedefli casus yazılım saldırıları gerçekleştiren bir tehdit grubu olan Stealth Falcon ile ilişkili altyapıyla benzerlikler paylaşsa da, örtüşen ek göstergelerin bulunmaması, araştırmacıların LANDFALL etkinliğini bilinen bir özel sektör saldırı aktörüne (örn. siber paralı asker) veya başka bir tehdit aktörüne atfetmelerini engelledi.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmamak için son dakika haber e-posta uyarımıza abone olun. Buradan abone olun!