Siber güvenlik uzmanları, Samsung Galaxy telefonlarını hedef alan gelişmiş bir Android casus yazılımını keşfettiklerini duyurdu. Bu yazılım neredeyse bir yıl boyunca süren bir siber casusluk kampanyasında kullanıldığı belirtildi.
“Landfall” olarak adlandırılan casus yazılımın, 2024 ortasındaki gizli operasyonlar sırasında aktifleştirildiği öğrenildi. Palo Alto Networks’ün Unit 42 ekibi, bu yazılımın ilk kez Temmuz 2024’te tespit edildiğini ve Samsung’un o dönemde henüz farkında olmadığı bir güvenlik açığını suistimal ettiğini vurguladı.
Siber güvenlik literatüründe “sıfır gün” (zero-day) olarak bilinen bu tür açıklar, henüz keşfedilmemiş güvenlik hatalarına işaret ediyor. Bu hatalar üzerinden gerçekleştirilen saldırılar ise sıfır gün saldırısı olarak adlandırılmakta.
HİÇBİR KULLANICI ETKİLEŞİMİ GEREKMİYOR
Unit 42’nin bulgularına göre, saldırganlar bu güvenlik açığını özel olarak hazırlanmış bir görüntü dosyası aracılığıyla kötüye kullandı. Bu dosyanın, muhtemelen bir mesajlaşma uygulaması üzerinden gönderildiği ve kurbanın herhangi bir müdahale yapmadan cihazı enfekte edebildiği kaydedildi.
Samsung, bu güvenlik açığını Nisan 2025 tarihinde yayımladığı bir güncelleme ile kapattı. Ancak Landfall casus yazılımının kampanya detayları henüz kamu ile paylaşılmadı.
HEDEF ORTADOĞU MU?
Araştırmacılar, yazılımı geliştiren gözetim firmasının kimliğini tespit edemediklerini ancak saldırıların özellikle Ortadoğu’daki belirli şahısları hedef aldığına inanıyorlar.
Unit 42’den kıdemli araştırmacı Itay Cohen, TechCrunch ile yaptığı söyleşide bu operasyonu “nokta atışı bir saldırı” olarak tanımladı ve Landfall’ın yaygın bir zararlı yazılım olmadığını, daha çok istihbarat amaçlı kullanıldığını ifade etti.
Ekip, Landfall’un dijital alt yapısının daha önce Birleşik Arap Emirlikleri’ndeki gazeteci ve aktivistlere yönelik saldırılarda kullanılan “Stealth Falcon” adlı bilinen bir gözetim aracıyla bazı benzerlikler taşıdığını saptadı. Ancak bu benzerlik, saldırıların kesin olarak bir hükümetle ilişkili olduğunu kanıtlamaya yetmiyor.
TÜRKİYE DAHİL 4 ÜLKEDEN İZLER
Unit 42, Landfall örneklerinin 2024 ve 2025 başlarında Fas, İran, Irak ve Türkiye’den gelen kullanıcılar tarafından VirusTotal adlı kötü amaçlı yazılım tarama platformuna yüklendiğini belirledi. VirusTotal, kullanıcıların dosyalarını veya bağlantılarını yükleyip kötü amaçlı yazılımları tarayabildiği bir çevrimiçi güvenlik platformudur.
Türkiye’nin ulusal siber güvenlik ekibi USOM (Ulusal Siber Olaylara Müdahale Merkezi), Landfall tarafından kullanılan IP adreslerinden birini zararlı olarak işaretledi. Bu durum, Türk kullanıcıların da saldırıların hedefi olabileceğini düşündürüyor.
CASUS YAZILIMLAR NE YAPABİLİR?
Landfall casus yazılımı, devlet destekli yazılımlar gibi cihazlarda bulunan neredeyse her türlü veriye erişim sağlıyor. Bu veriler arasında fotoğraflar, mesajlar, kişiler ve çağrı kayıtları bulunmakta.
Ayrıca bu yazılım, cihazların mikrofonları aracılığıyla ortam dinlemesi yapabilmekte ve konum takibi gerçekleştirebilmektedir. Unit 42’nin analizine göre, yazılımın kaynak kodunda Galaxy S22, S23, S24 ve bazı Z serisi modellerin açıkça hedef olarak belirtildiği görülmüştür.
Cohen, aynı açığın Android 13’ten 15’e kadar olan sürümleri kullanan diğer Galaxy cihazlarını da etkileyebileceği konusunda uyarıda bulundu.
Samsung, konuya ilişkin herhangi bir açıklama yapma gereği duymadı.
