Samsung Galaxy kullanıcılarını hedef alan sessiz ama ileri düzey bir casusluk operasyonu ortaya çıkarıldı. Palo Alto Networks’ün Unit 42 ekibi, “Landfall” adını verdiği ticari düzeydeki bir Android casus yazılımının, özel hazırlanmış görsellerle hiçbir tıklama gerektirmeden bazı Galaxy modellerine sızdığını raporladı. Saldırılar, WhatsApp gibi mesajlaşma uygulamaları üzerinden gönderilen tek bir görselin bile cihazı ele geçirmesine yol açabilecek bir güvenlik açığından yararlanıyor. Samsung, bu açığı Nisan 2025’te kapattı; sorun ise Temmuz 2024’ten itibaren aylarca düşük profilde sürdü.
Nasıl Çalışıyor?
Saldırganlar, TIFF tabanlı ham fotoğraf formatı olan DNG dosyalarını bozup zararlı kod gizleyerek sıradan JPEG’miş gibi gösterdi. Görsel, telefona ulaştığında sistemin otomatik görsel işleme bileşeni devreye giriyor; Samsung’un libimagecodec.quram.so kütüphanesindeki sıfır gün (CVE-2025-21042) kusuru tetiklenince, görselin sonuna iliştirilmiş ZIP arşivindeki bileşenler belleğe açılıyor. Bu zincirle Landfall çalışıyor ve SELinux politikalarını değiştirerek kalıcılık ve geniş yetkiler kazanabiliyor. Bu nedenle kullanıcı hiçbir şeye dokunmasa da enfeksiyon gerçekleşebiliyor.
Zaman çizelgesi şöyle: Kusur 25 Eylül 2024’te Samsung’a özel olarak bildirildi; düzeltme Nisan 2025 güvenlik güncellemesiyle yayınlandı ve daha sonra CVE-2025-21042 olarak numaralandırıldı. Aynı kütüphanede yer alan benzer bir hata (CVE-2025-21043) da Eylül 2025’te yama aldı; ancak Landfall örneklerinde bu ikinci açığın kullanıldığına dair bulgu yok.
Kimler Etkilendi, Ne Yapmalı?
Unit 42’nin kod ve örnek analizlerinde hedef alınan modeller arasında Galaxy S22, S23, S24 ile Z Flip 4 ve Z Fold 4 yer alıyor. VirusTotal yüklemeleri, örneklerin 2024–2025 döneminde Fas, İran, Irak ve Türkiye’den geldiğine işaret ediyor. Araştırmacılar, kampanyanın Orta Doğu odaklı ve az sayıda kişiyle sınırlı, casusluk amaçlı bir operasyon olduğunu; altyapı izlerinin özel sektör saldırı aktörleriyle (PSOA) benzerlik taşıdığını belirtiyor. Türkiye Ulusal Siber Olaylara Müdahale Merkezi’nin (USOM), komuta-kontrol IP’lerinden birini zararlı olarak işaretlemesi de hedeflemenin Türkiye’yi kapsadığı ihtimalini güçlendiriyor.
Güncel kalın: Telefonunuzdaki en az Nisan 2025 düzeyindeki güvenlik güncellemelerini yükleyin; Eylül 2025 yaması da aynı kütüphanedeki farklı bir açığı kapatıyor. Ayrıca mesajlaşma uygulamalarında otomatik medya indirmeyi kısıtlamak, telefon ve uygulamaları düzenli güncellemek, bilinmeyen kişilerden gelen dosyalara temkinli yaklaşmak riski azaltır.
Kaynak: www.techspot.com
