Yeni LandFall casus yazılımı, WhatsApp mesajlarıyla Samsung sıfırıncı günü istismar etti

Bir tehdit aktörü, WhatsApp üzerinden gönderilen kötü amaçlı görüntüleri kullanarak ‘LandFall’ adlı önceden bilinmeyen bir casus yazılımı dağıtmak için Samsung’un Android görüntü işleme kütüphanesindeki sıfır gün güvenlik açığından yararlandı.

Güvenlik sorunu bu yıl Nisan ayında düzeltildi, ancak araştırmacılar LandFall operasyonunun en az Temmuz 2024’ten beri aktif olduğuna ve Orta Doğu’daki seçilmiş Samsung Galaxy kullanıcılarını hedef aldığına dair kanıtlar buldu.

CVE-2025-21042 olarak tanımlanan sıfır gün, sınırların dışında bir yazma işlemidir libimagecodec.quram.so ve kritik önem derecesine sahiptir. Uzaktaki bir saldırgan bunu başarılı bir şekilde kullanarak hedef cihazda rastgele kod çalıştırabilir.

Palo Alto Networks’ün 42. Birimindeki araştırmacılara göre LandFall casus yazılımı muhtemelen hedefli saldırılarda kullanılan ticari bir gözetim çerçevesidir.

Saldırılar, hatalı biçimlendirilmiş bir .DNG ham görüntü formatının, dosyanın sonuna eklenen bir .ZIP arşiviyle teslim edilmesiyle başlar.

Birim 42 araştırmacıları, kullanılan dosya adlarına göre dağıtım kanalı olarak WhatsApp’ı belirten VirusTotal tarama platformuna 23 Temmuz 2024’ten itibaren gönderilen örnekleri aldı ve inceledi.

Teknik açıdan bakıldığında, DNG’ler iki ana bileşeni bünyesinde barındırır: bir yükleyici (yani) ek modülleri alıp yükleyebilen ve bir SELinux politika manipülatörü (yani), izinleri yükseltmek ve kalıcılık sağlamak için cihazdaki güvenlik ayarlarını değiştiren.

Araştırmacılara göre LandFall, donanıma ve SIM kimliklerine (IMEI, IMSI, SIM kart numarası, kullanıcı hesabı, Bluetooth, konum hizmetleri veya yüklü uygulamaların listesine) dayalı olarak cihazların parmak izini alabiliyor.

Ancak gözlemlenen ek yetenekler arasında modüllerin yürütülmesi, kalıcılığın sağlanması, tespitten kaçma ve korumaların atlanması yer alıyor. Casusluk özellikleri arasında kötü amaçlı yazılım şunları sayar:

• mikrofon kaydı
• çağrı kaydı
• konum takibi
• fotoğraflara, kişilere, SMS’lere, çağrı kayıtlarına ve dosyalara erişme
• tarama geçmişine erişme

Unit 42’nin analizine göre casus yazılım, Galaxy S22, S23 ve S24 serisi cihazların yanı sıra Z Fold 4 ve Z Flip 4’ü de hedef alıyor ve en yeni S25 serisi cihazlar hariç Samsung’un en yeni amiral gemisi modellerinin geniş bir yelpazesini kapsıyor.

LandFall’ın ve onun DNG görüntülerini kullanmasının, son zamanlarda ticari casus yazılım araçlarında görülen daha geniş kapsamlı istismarın bir başka örneği olduğunu belirtmekte fayda var.

Geçmişte, Apple iOS için CVE-2025-43300 ile DNG formatını ve ayrıca CVE-2025-55177 ile WhatsApp için DNG formatını içeren istismar zincirleri yaşanmıştı.

Samsung ayrıca yakın zamanda CVE-2025-21043’ü de düzeltti; bu durum, libimagecodec.quram.soWhatsApp güvenlik araştırmacıları bunu keşfedip rapor ettikten sonra.

İlişkilendirme belirsiz

Araştırmacıların incelediği VirusTotal örneklerinden elde edilen veriler Irak, İran, Türkiye ve Fas’taki potansiyel hedefleri gösteriyor.

Birim 42, altı komuta ve kontrol (C2) sunucusunu LandFall kampanyasıyla tespit edip ilişkilendirmeyi başardı; bunlardan bazıları Türkiye’nin CERT’i tarafından kötü niyetli faaliyet olarak işaretlendi.

C2 alan adı kaydı ve altyapı modelleri, Birleşik Arap Emirlikleri kaynaklı Stealth Falcon operasyonlarında görülenlerle benzerlikler taşıyor.

Diğer bir ipucu ise, NSO Group, Variston, Cytrox ve Quadream ürünlerinde yaygın olarak görülen bir adlandırma kuralı olan, yükleyici bileşeni için “Köprü Başlığı” adının kullanılmasıdır.

Ancak LandFall bilinen herhangi bir tehdit grubuyla veya casus yazılım satıcısıyla güvenilir bir şekilde ilişkilendirilemedi.

Casus yazılım saldırılarına karşı korunmak için, mobil işletim sisteminiz ve uygulamalarınız için güvenlik güncellemelerini derhal uygulayın, mesajlaşma uygulamalarında otomatik medya indirmeyi devre dışı bırakın ve Android’de ‘Gelişmiş Koruma’yı ve iOS’ta ‘Kilitleme Modu’nu etkinleştirmeyi düşünün.