Samsung Zero-Click Açığı ve LANDFALL Casus Yazılımı
Samsung Galaxy Android cihazlarındaki şimdi kapatılmış bir güvenlik açığı, Orta Doğu’daki hedefli saldırılar için “ticari düzeyde” bir Android casus yazılımı olan LANDFALL‘ın dağıtımında kullanıldı. Bu tür bir saldırının, kullanıcı etkileşimi olmaksızın, cihazlara zarar vermek amacıyla geliştirildiği dikkate alındığında, mobil güvenlikteki tehditler daha da artmakta.
CVE-2025-21042 Güvenlik Açığı
Palo Alto Networks Unit 42’nin raporuna göre, bu saldırılar CVE-2025-21042 (CVSS puanı: 8.8) üzerinden gerçekleştirildi. Bu, “libimagecodec.quram.so” bileşeninde bulunan bir sınır dışı yazım hatasıdır ve uzaktan saldırganların rastgele kod çalıştırmasına olanak tanır. Samsung, bu güvenlik açığını Nisan 2025’te kapatmıştı.
Saldırının hedefleri, Irak, İran, Türkiye ve Fas’taki kullanıcıları içeriyor. Unit 42, bu açığın henüz kapatılmadan aktif olarak istismar edildiğini belirtmektedir. Eylül 2025’te, aynı kütüphanedeki başka bir açığın (CVE-2025-21043) da istismar edildiği açıklanmıştır.
WhatsApp Üzerinden Dağıtım
Saldırılar, WhatsApp üzerinden gönderilen kötü amaçlı DNG (Dijital Negatif) görüntü dosyaları ile gerçekleştirildi. İlgili DNG dosyalarının adları arasında “WhatsApp Image 2025-02-10 at 4.54.17 PM.jpeg” ve “IMG-20240723-WA0000.jpg” gibi örnekler bulunmaktadır. Bu durum, LANDFALL örneklerinin geçmişinin 23 Temmuz 2024’e kadar uzandığını göstermektedir.
LANDFALL yüklendikten sonra, mikrofondan kayıt yapma, konum, fotoğraflar, kişilere, SMS’lere, dosyalara ve arama kayıtlarına erişme gibi kapsamlı bir casusluk aracı olarak çalışır. Saldırı zincirinin, kullanıcı etkileşimi olmaksızın CVE-2025-21042’nin istismarını tetikleyen bir “zero-click” yaklaşımı içerdiği düşünülmektedir.
LANDFALL’ın Çalışma Prensibi
LANDFALL’ın yüklendiği casus yazılım, sadece verileri toplamakla kalmaz, aynı zamanda komut ve kontrol (C2) sunucusu ile HTTPS üzerinden iletişim kurarak belirli yükleri almak için bir döngüye girer. Unit 42’nin yaptığı analizlerde, LANDFALL’ın kurulumunun yanında cihazın güvenlik politikasını manipüle eden başka bir bileşen olduğu ortaya çıkmıştır. Bu bileşen, LANDFALL’a yükseltilmiş izinler vererek sürekli çalışmasını sağlar.
Kimler Arkasında?
Şu anda LANDFALL veya kampanya hakkında kimin arkasında olduğu bilinmemektedir. Ancak, Unit 42, LANDFALL’ın C2 altyapısının ve alan adı kayıt kalıplarının Stealth Falcon (FruityArmor olarak da bilinir) ile örtüştüğünü belirtmektedir. Yine de Ekim 2025 itibarıyla bu iki küme arasında doğrudan bir örtüşme tespit edilmemiştir.
Sonuç olarak, LANDFALL örneklerinin ilk görünümü, kamusal havuzlarda karmaşık istismarların uzun süre boyunca tam olarak anlaşılamadan kalabileceğini göstermektedir. Mobil güvenliğin önemine yeniden dikkat çekmekte ve bu tür tehditlerle mücadelede daha etkili önlemler alınması gerekliliğini ortaya koymaktadır.
