Güvenlik araştırmacıları “Landfall” adlı yeni bir Android casus yazılımı tespit etti.
Araştırma raporlarına göre yazılım, Samsung Galaxy cihazlarında yer alan kritik bir görüntü işleme açığını (CVE-2025-21042) istismar ederek hedef cihazlara sızıyor.
Unit 42 ile diğer güvenilir kaynakların analizleri, saldırı zincirinin kötü amaçlı DNG (Digital Negative) görüntü dosyaları aracılığıyla çalıştığını ve kampanyanın 2024 ortalarından 2025 başlarına kadar uzandığını gösteriyor.
Nasıl çalışıyor ve hangi açığı kullanıyor?
Landfall saldırı zinciri, Samsung’un görüntü işleme kütüphanesindeki CVE-2025-21042 kodlu “sıfır gün” açığından yararlanıyor.
Saldırganlar, hedefin cihazına özel hazırlanmış DNG dosyaları göndererek libimagecodec benzeri bileşenleri tetikliyor; bunun sonucunda cihazda uzaktan kod yürütme mümkün hâle geliyor ve casus yazılım yüklenebiliyor.
Araştırmalar, istismar örneklerinin Temmuz 2024’ten itibaren görüldüğünü ve ilgili açığın Samsung tarafından Nisan 2025’te yamalandığını bildiriyor.
Hangi modeller hedeflendi ve hangi bölgeler etkilendi?
Analizler, kampanyanın Galaxy S22, S23, S24 serileri ile bazı Z Fold ve Z Flip modellerini hedeflediğini gösteriyor. Unit 42 ve takip eden raporlar, örneklerin Orta Doğu coğrafyasında yoğunlaştığını; Fas, İran, Irak ve Türkiye’den örneklerin VirusTotal gibi platformlara yüklenmiş örneklerle doğrulandığını aktarıyor.
Bu durum, saldırıların geniş bir coğrafi alana yayıldığını ve Türkiye’de de kullanıcılara yönelik tespitlerin bulunduğunu ortaya koyuyor.
Casus yazılımın yetkileri hangi veriler tehlikede?
Landfall, klasik devlet destekli casus yazılımlara benzer kapsamlı yeteneklere sahip olarak raporlanıyor.
Bahsedilen yetenekler arasında fotoğraf, mesaj ve kişi listesi gibi dosyaların ele geçirilmesi; arama kayıtlarının ve SMS verilerinin toplanması; cihaz mikrofonunun uzaktan açılmasıyla ses kayıtlarının alınması ve kullanıcının gerçek zamanlı konumunun izlenmesi yer alıyor.
Ayrıca bazı teknik raporlar, yazılımın SELinux politikaları ve benzeri güvenlik mekanizmalarını atlayabilecek derin ayrıcalıklar elde edebildiğine işaret ediyor.
Bu yetenekler, hedeflenen kişiler için ciddi bir gizlilik ve güvenlik riski oluşturuyor.
Kullanıcılar ne yapmalı?
- Hemen güncelleyin: Samsung cihazınızda güvenlik güncellemelerini kontrol edin; ilgili yama Nisan 2025’te yayımlandı — güncellemeler yüklü değilse derhal yükleyin.
- Bilinmeyen medya dosyalarına dikkat: SMS/WhatsApp gibi uygulamalarda gelen tanımadığınız fotoğraf/DNG dosyalarını açmayın; şüpheli dosyalar cihazınıza zarar verebilir
- Güvenlik yazılımları kullanın: Mobil güvenlik yazılımları ve gerçek zamanlı tehdit tarayıcıları ile cihazınızı tarayın; resmi mağazalardan (Google Play) gelen uygulamalara öncelik verin.
- Şüpheli davranışları izleyin: Batarya tüketiminde ani artış, rastgele yeniden başlatmalar, mikrofon/kamera kullanım bildirimleri veya tanımadığınız veri trafiği fark ederseniz uzman desteği alın.
- Kurumsal kullanıcılar için: İş cihazlarında MDM (mobil cihaz yönetimi) politikalarını sıkılaştırın; kritik personelin cihazlarında derinlemesine adli analiz yapılmasını sağlayın.
Uzmanlar kullanıcıları uyardı
Siber güvenlik uzmanları, Landfall vakasının mobil cihaz güvenliğinin hâlâ ciddi zafiyetler barındırdığını gösterdiğini; üreticilerin hızla yamalar yayınlamasına rağmen hedefli saldırıların hâlâ tehlike arz ettiğini vurguluyor.
Unit 42 raporu, bu tür casus yazılımların yalnızca kitlesel değil, hedef odaklı ve uzun süreli casusluk faaliyetleri için kullanıldığını; bu yüzden hem kullanıcı hem kurum bazlı önlemlerin sürekli güncellenmesi gerektiğini belirtiyor.
Kamu kurumları ve kritik sektörlerde yer alan kullanıcıların ilave tedbirler alması özellikle tavsiye ediliyor.
