Akıllı telefon kullanıcıları için endişe verici bir gelişme yaşandı. Güvenlik araştırmacıları, Samsung Galaxy telefonlarını hedef alan ve 'Landfall' olarak adlandırılan sofistike bir casus yazılımı tespit etti. Araştırmacılara göre, bu saldırı kampanyası Samsung Android yazılımındaki kritik bir güvenlik açığından yararlanarak kişisel verilere erişti ve yaklaşık bir yıl boyunca aktif kaldı. Neyse ki, söz konusu güvenlik açığı artık kapatıldı ve saldırıların büyük olasılıkla belirli grupları hedef aldığı düşünülüyor.
Landfall'ın Temmuz 2024'te ortaya çıktığı ve CVE-2025-21042 olarak bilinen bir yazılım kusurundan faydalandığı belirtiliyor. Samsung, Nisan 2025'te çıkan bir güncellemeyle bu güvenlik açığını kapattı, ancak saldırıya ilişkin detaylar ancak şimdi kamuoyuna açıklanabildi.
2024 ve 2025 başlarında Samsung Galaxy cihazı kullananların, özellikle internetin karanlık köşelerinde dolaşanların bu casus yazılımla enfekte olması pek olası değil. Ekip, Landfall'ın Orta Doğu'da belirli kişileri gözetlemek amacıyla kullanıldığına inanıyor. Saldırıların arkasında kimin olduğu ise henüz netlik kazanmış değil.
Landfall'ın en sinsi yanı, kullanıcının doğrudan müdahalesi olmadan bir sistemi tehlikeye atabilen 'sıfır tıklama' saldırısı olmasıdır. Araştırmacılar, benzer iki hatanın Apple iOS ve WhatsApp'ta kapatılmasının ardından Landfall'ı fark etti. Bu iki açığın birleşimi, uzaktan kod yürütmeye olanak tanıyordu ve bu da araştırmacıları bu tür saldırıları aramaya yöneltti. VirusTotal'a yüklenen zararlı resim dosyaları, Landfall saldırısını ortaya çıkardı.
Sadece Resim Olmayan Resimler
Normal bir resim dosyası çalıştırılamaz olsa da, bazı resim dosyaları zararlı kod taşıyacak şekilde özel olarak hazırlanabilir. Landfall örneğinde, saldırganlar TIFF formatına dayanan ham bir dosya türü olan değiştirilmiş DNG dosyalarını kullandı. Bu DNG dosyalarının içine, bilinmeyen tehdit aktörleri zararlı yükler içeren ZIP arşivleri yerleştirmişti.
Nisan 2025'teki yama öncesinde, Samsung telefonlarının resim işleme kütüphanesinde bir güvenlik açığı bulunuyordu. Bu, kullanıcının herhangi bir şeyi başlatmasına gerek kalmadığı için sıfır tıklama saldırısıydı. Sistem, zararlı resmi görüntülemek üzere işlerken, Landfall casus yazılımını çalıştırmak için ZIP'ten paylaşılan nesne kütüphanesi dosyalarını çıkarıyordu. Yük, ayrıca cihazın SELinux politikasını değiştirerek Landfall'a genişletilmiş izinler ve verilere erişim sağlıyordu.
Enfekte olan dosyaların, WhatsApp gibi mesajlaşma uygulamaları aracılığıyla hedeflere ulaştırıldığı görülüyor. Araştırmacılar, Landfall'ın kodunun Galaxy S22, Galaxy S23, Galaxy S24, Galaxy Z Flip 4 ve Galaxy Z Fold 4 gibi belirli Samsung telefon modellerini referans aldığını belirtiyor. Etkinleştirildikten sonra Landfall, temel cihaz bilgileriyle uzak bir sunucuya bağlanıyor. Operatörler daha sonra kullanıcı ve donanım kimlikleri, yüklü uygulamalar, kişiler, cihazda depolanan tüm dosyalar ve tarama geçmişi gibi çok sayıda veriyi çekebiliyor. Ayrıca kamera ve mikrofonu etkinleştirerek kullanıcıyı izleyebiliyor.
Casus yazılımı kaldırmak da hiç kolay değil. SELinux politikalarını manipüle etme yeteneği sayesinde sistem yazılımına derinlemesine nüfuz edebiliyor. Ayrıca tespit edilmekten kaçınmaya yardımcı olan çeşitli araçlar içeriyor. VirusTotal gönderimlerine dayanarak, araştırmacılar Landfall'ın 2024 ve 2025 başlarında Irak, İran, Türkiye ve Fas'ta aktif olduğunu düşünüyor. Güvenlik açığının, şirketin belirttiği gibi Android 13'ten Android 15'e kadar olan Samsung yazılımlarında bulunmuş olabileceği tahmin ediliyor.
Araştırmacılar, bazı adlandırma şemalarının ve sunucu yanıtlarının NSO Group ve Variston gibi büyük siber istihbarat firmaları tarafından geliştirilen endüstriyel casus yazılımlarla benzerlikler paylaştığını belirtiyor. Ancak Landfall'ı belirli bir gruba doğrudan bağlayamıyorlar. Bu saldırı oldukça hedeflenmiş olsa da, artık detayları kamuoyuna açık olduğu için diğer tehdit aktörleri de yamalanmamış cihazlara erişmek için benzer yöntemler kullanabilir. Desteklenen bir Samsung telefon sahibi olan herkesin, Nisan 2025 veya daha sonraki bir yama sürümünde olduğundan emin olması gerekiyor.
