Siber güvenlik araştırmacıları, neredeyse bir yıl boyunca Samsung Galaxy telefonlarını hedef alan gelişmiş bir Android casus yazılımı keşfetti.
“Landfall” adı verilen yazılımın, 2024 ortasından itibaren yürütülen gizli bir siber casusluk kampanyasında kullanıldığı öğrenildi.
Araştırmayı gerçekleştiren Palo Alto Networks’ün Unit 42 ekibi, Landfalluın ilk olarak Temmuz 2024’te tespit edildiğini ve Samsung’un o dönemde farkında olmadığı bir güvenlik açığından yararlandığını duyurdu.
Bu tür açıklar, siber güvenlikte “sıfır gün” (zero-day) olarak adlandırılıyor. Sıfır gün açığı henüz keşfedilmemiş güvenlik hatasına denirken, bu hatayı kullanarak sisteme sızma eylemine de sıfır gün saldırısı adı veriliyor.
HİÇBİR KULLANICI ETKİLEŞİMİ GEREKMİYOR
Unit 42’nin bulgularına göre, saldırganlar bu güvenlik açığını özel olarak hazırlanmış bir görüntü dosyası aracılığıyla kötüye kullandı. Dosya, büyük olasılıkla bir mesajlaşma uygulaması üzerinden gönderiliyordu ve kurbanın herhangi bir işlem yapmasına gerek kalmadan cihazı enfekte edebiliyordu.
Samsung, bu açığı Nisan 2025’te yayımladığı bir güvenlik güncellemesiyle kapattı. Ancak Landfall casus yazılımının bu açık üzerinden yürüttüğü kampanyanın ayrıntıları şimdiye dek kamuoyuna açıklanmamıştı.
HEDEF ORTADOĞU MU?
Araştırmacılar, yazılımı geliştiren gözetim şirketinin kimliğinin bilinmediğini ancak saldırıların Ortadoğu’daki belirli kişileri hedef aldığını düşünüyor.
Unit 42’den kıdemli araştırmacı Itay Cohen, TechCrunch’a yaptığı açıklamada bu operasyonu “nokta atışı bir saldırı” olarak tanımladı ve yazılımın yaygın bir zararlı yazılım olmadığını, casusluk amaçlı kullanıldığını belirtti.
Ekip, Landfall’un dijital altyapısının daha önce BAE’li gazeteci ve aktivistlere yönelik saldırılarda kullanılan, “Stealth Falcon” adlı bilinen bir gözetim aracıyla benzerlikler taşıdığını da keşfetti. Ancak bu benzerlik, saldırıların kesin olarak bir hükümetle bağlantılı olduğunu kanıtlamaya yetmedi.
TÜRKİYE DAHİL 4 ÜLKEDEN İZLER
Unit 42, Landfall örneklerinin 2024 ve 2025 başlarında Fas, İran, Irak ve Türkiye’den gelen kullanıcılar tarafından VirusTotal adlı kötü amaçlı yazılım tarama platformuna yüklendiğini tespit etti. VirusTotal, herkesin dosya veya bağlantı yükleyip onlar üzerinde kötü amaçlı yazılım taraması yaptırabildiği ücretsiz bir çevrimiçi güvenlik platformu.
Türkiye’nin ulusal siber güvenlik ekibi USOM (Ulusal Siber Olaylara Müdahale Merkezi) da Landfall’un kullandığı IP adreslerinden birini zararlı olarak işaretledi. Bu durum, Türk kullanıcıların da hedef alınmış olabileceğini düşündürüyor.
CASUS YAZILIMLAR NE YAPABİLİR?
Landfall, tıpkı devlet destekli casus yazılımlar gibi, cihaz üzerindeki hemen her veriye erişebiliyor. Bunlar arasında fotoğraflar, mesajlar, kişiler ve çağrı kayıtları var.
Yazılım ayrıca cihazların mikrofonu aracılığıyla ortam dinlemesi ve konum takibi yapabiliyor.
Unit 42’nin analizine göre yazılımın kaynak kodunda Galaxy S22, S23, S24 ve bazı Z serisi modellerin açıkça hedef olarak belirtildiği görüldü.
Cohen, aynı açığın Android 13’ten 15’e kadar olan sürümleri çalıştıran diğer Galaxy cihazlarını da etkileyebileceğini söyledi.
Samsung, konuya ilişkin herhangi bir açıklama yapmadı.
