Samsung Galaxy Android cihazlarındaki artık yamalanmış bir güvenlik kusuru, “ticari düzeyde” bir Android casus yazılımı sunmak için sıfır gün olarak kullanıldı. DÖŞEME Ortadoğu’da hedefli saldırılar yapılıyor.
Faaliyet, sömürülmeyi içeriyordu CVE-2025-21042 (CVSS puanı: 8,8), Palo Alto Networks Birim 42’ye göre, “libimagecodec.quram.so” bileşeninde uzaktaki saldırganların rastgele kod çalıştırmasına izin verebilecek sınır dışı bir yazma hatası. Sorun, Nisan 2025’te Samsung tarafından giderildi.
Unit 42, “Bu güvenlik açığı, Samsung’un vahşi saldırı raporlarının ardından Nisan 2025’te yama yapmasından önce vahşi doğada aktif olarak kullanıldı” dedi. VirusTotal gönderim verilerine göre CL-UNK-1054 olarak takip edilen etkinliğin potansiyel hedefleri Irak, İran, Türkiye ve Fas’ta bulunuyor.
Bu gelişme, Samsung’un Eylül 2025’te aynı kitaplıktaki başka bir kusurun (CVE-2025-21043, CVSS puanı: 8,8) sıfır gün olarak vahşi ortamda istismar edildiğini açıklamasının ardından geldi. LANDFALL kampanyasında bu güvenlik kusurunun silah haline getirildiğine dair hiçbir kanıt yok.
Saldırıların, WhatsApp aracılığıyla DNG (Dijital Negatif) dosyaları biçiminde kötü amaçlı görüntüler göndermeyi içerdiği değerlendiriliyor ve LANDFALL örneklerinin kanıtı 23 Temmuz 2024’e kadar uzanıyor. Bu, “WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg” ve “IMG-20240723-WA0000.jpg” gibi adlar taşıyan DNG yapıtlarına dayanıyor.
LANDFALL, kurulduğunda ve yürütüldüğünde, mikrofon kaydı, konum, fotoğraflar, kişiler, SMS, dosyalar ve çağrı kayıtları dahil olmak üzere hassas verileri toplayabilen kapsamlı bir casus aracı görevi görür. Yararlanma zincirinin muhtemelen herhangi bir kullanıcı etkileşimi gerektirmeden CVE-2025-21042’nin istismarını tetiklemek için sıfır tıklama yaklaşımının kullanımını içerdiği söyleniyor.
 |
| LANDFALL casus yazılımı için akış şeması |
WhatsApp’ın, iOS ve macOS için mesajlaşma uygulamasındaki bir kusurun (CVE-2025-55177, CVSS puanı: 5,4), Apple iOS, iPadOS ve macOS’taki bir kusur olan CVE-2025-43300 (CVSS puanı: 8,8) ile birlikte zincirlendiğini ve karmaşık bir kampanyanın parçası olarak potansiyel olarak 200’den az kullanıcıyı hedef aldığını açıkladığı aynı sıralarda olduğunu belirtmekte fayda var. Apple ve WhatsApp o zamandan beri kusurları düzeltti.
 |
| En son kötü amaçlı DNG görüntü dosyaları ve ilgili yararlanma etkinliği için zaman çizelgesi |
Birim 42’nin keşfedilen DNG dosyaları üzerinde yaptığı analiz, bunların dosyanın sonuna eklenmiş gömülü bir ZIP dosyasıyla birlikte geldiğini ve istismarın, casus yazılımı çalıştırmak için arşivden paylaşılan bir nesne kitaplığını çıkarmak için kullanıldığını gösteriyor. Arşivde ayrıca, LANDFALL’a yükseltilmiş izinler vermek ve kalıcılığı kolaylaştırmak için cihazın SELinux politikasını değiştirmek üzere tasarlanmış başka bir paylaşılan nesne de mevcuttur.
LANDFALL’u yükleyen paylaşılan nesne ayrıca bir işaret döngüsüne girmek ve sonraki yürütme için belirtilmemiş sonraki aşama yüklerini almak için HTTPS üzerinden bir komut ve kontrol (C2) sunucusuyla iletişim kurar.
Şu anda casus yazılımın veya kampanyanın arkasında kimin olduğu bilinmiyor. Bununla birlikte Birim 42, LANDFALL’un C2 altyapısı ve etki alanı kayıt modellerinin Stealth Falcon’un (diğer adıyla FruityArmor)kiyle örtüştüğünü ancak Ekim 2025 itibarıyla iki küme arasında doğrudan bir örtüşmenin tespit edilmediğini söyledi.
Unit 42, “Örneklerin Temmuz 2024’te ilk kez ortaya çıkmasından bu yana, bu aktivite, karmaşık istismarların tam olarak anlaşılmadan önce halka açık depolarda nasıl uzun bir süre kalabileceğinin altını çiziyor” dedi.