Palo Alto Networks’ün 42. Biriminden güvenlik araştırmacıları, LANDFALL adı verilen ve aylarca Samsung Galaxy akıllı telefonlarını gizlice hedef alan, yeni ve tehlikeli bir ticari sınıf casus yazılım keşfettiler.
Bu karmaşık kampanya, WhatsApp gibi uygulamalar üzerinden gönderilen günlük görüntü dosyalarını kapsamlı bir gözetim aracına dönüştürmek için gizli bir kusura dayanıyordu. Unit 42’nin teknik blog yazısında ayrıntılı olarak açıklandığı gibi, bu saldırının temeli, özel bir Samsung yazılım kütüphanesinde daha önce bilinmeyen bir sıfır gün güvenlik açığıydı (libimagecodec.quram.so) görüntü işlemeyi yönetir.
CVE-2025-21042 olarak takip edilen bu güvenlik açığı, saldırganların kullanıcı hiçbir şey yapmadan, hatta bir bağlantıya tıklamadan LANDFALL casus yazılımını bir cihaza gizlice sokmasına olanak tanıdı. Buna, hiçbir kullanıcı eylemi gerektirmediği ve geçerli bir savunma sunmadığı için en tehlikeli saldırılar arasında yer alan sıfır tıklama istismarı denir.
Bilginiz olsun diye söylüyorum, CVE-2025-21042, Samsung kütüphanesinde ‘sınırların dışında yazma’ işlemiydi ve CVSS 9,8 (Kritik) olarak derecelendirildi. Sorun temel olarak casus yazılımın telefonu, belirlenen hafıza kutusunun dışına kötü amaçlı veriler yazması için kandırdığı anlamına geliyor.
Saldırganlar, özel olarak oluşturulmuş, hatalı biçimlendirilmiş DNG (Dijital Negatif) görüntü dosyalarının içine gizlenmiş casus yazılımı teslim etti. Bu görseller, dosya adlarıyla birlikte WhatsApp aracılığıyla gönderildiklerini gösteriyor (örneğin, WhatsApp Görüntüsü… veya WA0000.jpg), Samsung’un güvenlik açığından yararlanmak için kullanıldı. Birim 42, WhatsApp’ın kendisinde bilinmeyen bir kusur bulamadıklarını doğruladı.
Unit 42’nin araştırması ayrıca LANDFALL operasyonunun, Samsung’un Nisan 2025’te soruna yönelik bir düzeltme yayınlamasından aylar önce, 2024 ortalarında aktif olduğunu ortaya çıkardı. Araştırmacılar benzer bir güvenlik açığının (CVE-2025-21043) Eylül 2024’te yamandığını kaydetti; bu da bu saldırı yönteminin daha geniş bir eğilimin parçası olduğunu gösteriyor.
Güçlü Bir Casus Aracı
LANDFALL, bir Samsung Galaxy cihazına (S22, S23, S24, Z Flip4 ve Z Fold4 gibi modeller dahil) yüklendikten sonra tam özellikli bir dijital casus görevi görür. Yetenekleri, veri sızdırma (kayıtlı aramaları, fotoğrafları, kişileri ve tarama geçmişini çalma) ve cihaz parmak izinden (IMEI gibi kritik tanımlayıcıları yakalama) gelişmiş kalıcılık ve kaçınma özelliklerine kadar her şeyi içerir. Güvenlik katmanlarını (SELinux gibi) manipüle ederek sistemin derinliklerine girebilir ve uzun vadeli gözetim için güvenlik uygulamalarından gizlenebilir.
Araştırma, bunun yaygın bir enfeksiyon değil, hedefe yönelik bir çaba olduğunu öne sürüyor; kanıtlar, Irak, İran, Türkiye ve Fas’taki olası kurbanlar da dahil olmak üzere Orta Doğu’daki faaliyetlere işaret ediyor. Resmi olarak hiçbir grup suçlanmasa da Birim 42, dijital kalıpların ve altyapının Stealth Falcon adlı bilinen bir gözetim grubununkilerle benzerlikler taşıdığını gözlemledi.
Cihazlarını güncel tutan mevcut Samsung Galaxy kullanıcıları, kritik kusur Nisan 2025’te giderildiği için korunuyor. Ancak LANDFALL’un keşfi, gelişmiş tehditlerin ortalama bir insandan tamamen gizlenerek ne kadar uzun süre çalışabileceğini gösteriyor.