Siber güvenlik araştırmacıları, neredeyse bir yıl boyunca Samsung Galaxy telefonlarını amaç alan gelişmiş bir Android casus yazılımı keşfetti.
“Landfall” ismi verilen yazılımın, 2024 ortasından itibaren yürütülen kapalı bir siber casusluk kampanyasında kullanıldığı öğrenildi.
Araştırmayı gerçekleştiren Palo Alto Networks’ün Unit 42 takımı, Landfalluın birinci olarak Temmuz 2024’te tespit edildiğini ve Samsung’un o devirde farkında olmadığı bir güvenlik açığından yararlandığını duyurdu.
Bu çeşit açıklar, siber güvenlikte “sıfır gün” (zero-day) olarak isimlendiriliyor. Sıfır gün açığı şimdi keşfedilmemiş güvenlik yanılgısına denirken, bu yanılgıyı kullanarak sisteme sızma aksiyonuna de sıfır gün saldırısı ismi veriliyor.
HİÇBİR KULLANICI ETKİLEŞİMİ GEREKMİYOR
Unit 42’nin bulgularına nazaran, saldırganlar bu güvenlik açığını özel olarak hazırlanmış bir imaj evrakı aracılığıyla berbata kullandı. Evrak, büyük olasılıkla bir iletileşme uygulaması üzerinden gönderiliyordu ve kurbanın rastgele bir süreç yapmasına gerek kalmadan aygıtı enfekte edebiliyordu.
Samsung, bu açığı Nisan 2025’te yayımladığı bir güvenlik güncellemesiyle kapattı. Lakin Landfall casus yazılımının bu açık üzerinden yürüttüğü kampanyanın detayları şimdiye dek kamuoyuna açıklanmamıştı.
HEDEF ORTADOĞU MU?
Araştırmacılar, yazılımı geliştiren nezaret şirketinin kimliğinin bilinmediğini lakin akınların Ortadoğu’daki makul şahısları gaye aldığını düşünüyor.
Unit 42’den kıdemli araştırmacı Itay Cohen, TechCrunch’a yaptığı açıklamada bu operasyonu “nokta atışı bir saldırı” olarak tanımladı ve yazılımın yaygın bir ziyanlı yazılım olmadığını, casusluk maksatlı kullanıldığını belirtti.
Ekip, Landfall’un dijital altyapısının daha evvel BAE’li gazeteci ve aktivistlere yönelik hücumlarda kullanılan, “Stealth Falcon” isimli bilinen bir nezaret aracıyla benzerlikler taşıdığını da keşfetti. Fakat bu benzerlik, akınların kesin olarak bir hükümetle temaslı olduğunu kanıtlamaya yetmedi.
TÜRKİYE DAHİL 4 ÜLKEDEN İZLER
Unit 42, Landfall örneklerinin 2024 ve 2025 başlarında Fas, İran, Irak ve Türkiye’den gelen kullanıcılar tarafından VirusTotal isimli makûs emelli yazılım tarama platformuna yüklendiğini tespit etti. VirusTotal, herkesin belge yahut irtibat yükleyip onlar üzerinde makûs hedefli yazılım taraması yaptırabildiği fiyatsız bir çevrimiçi güvenlik platformu.
Türkiye’nin ulusal siber güvenlik takımı USOM (Ulusal Siber Olaylara Müdahale Merkezi) da Landfall’un kullandığı IP adreslerinden birini ziyanlı olarak işaretledi. Bu durum, Türk kullanıcıların da amaç alınmış olabileceğini düşündürüyor.
CASUS YAZILIMLAR NE YAPABİLİR?
Landfall, tıpkı devlet dayanaklı casus yazılımlar üzere, aygıt üzerindeki çabucak her bilgiye erişebiliyor. Bunlar ortasında fotoğraflar, iletiler, şahıslar ve davet kayıtları var.
Yazılım ayrıyeten aygıtların mikrofonu aracılığıyla ortam dinlemesi ve pozisyon takibi yapabiliyor.
Unit 42’nin tahliline nazaran yazılımın kaynak kodunda Galaxy S22, S23, S24 ve kimi Z serisi modellerin açıkça amaç olarak belirtildiği görüldü.
Cohen, birebir açığın Android 13’ten 15’e kadar olan sürümleri çalıştıran başka Galaxy aygıtlarını da etkileyebileceğini söyledi.
Samsung, mevzuya ait rastgele bir açıklama yapmadı.
