LANDFALL Casus Yazılımı, Kötü Amaçlı Görüntüler Aracılığıyla Samsung Galaxy Telefonlarını Hedef Aldı
Palo Alto Networks'ün 42. Birimi'ndeki güvenlik araştırmacıları, aylarca Samsung Galaxy akıllı telefonlarını gizlice hedef alan LANDFALL adlı tehlikeli yeni bir ticari casus yazılım keşfetti.
Bu karmaşık kampanya, WhatsApp gibi uygulamalar üzerinden gönderilen günlük görüntü dosyalarını kapsamlı bir gözetleme aracına dönüştürmek için gizli bir kusurdan yararlanıyordu. Unit 42'nin teknik blog yazısında ayrıntılı olarak açıklandığı gibi, bu saldırının temeli, görüntü işlemeyi yöneten özel bir Samsung yazılım kütüphanesindeki ( libimagecodec.quram.so ) daha önce bilinmeyen bir sıfırıncı gün güvenlik açığıydı.
CVE-2025-21042 olarak izlenen bu güvenlik açığı, saldırganların LANDFALL casus yazılımını, kullanıcının hiçbir şey yapmasına, hatta bir bağlantıya tıklamasına bile gerek kalmadan cihaza gizlice yerleştirmesine olanak tanıyordu. Bu , sıfır tıklama açığı olarak adlandırılan ve kullanıcıdan herhangi bir işlem gerektirmediği ve uygulanabilir bir savunma sağlamadığı için en tehlikeli saldırılar arasında yer alan bir güvenlik açığıdır.
Bilginize, CVE-2025-21042, Samsung kütüphanesinde "sınır dışı yazma" olarak değerlendirildi ve CVSS tarafından 9,8 (Kritik) olarak derecelendirildi. Bu sorun, temel olarak casus yazılımın telefonu, belirlenen bellek kutusunun dışına kötü amaçlı veriler yazması için kandırdığı anlamına geliyor.
Saldırganlar, özel olarak oluşturulmuş, hatalı biçimlendirilmiş DNG (Dijital Negatif) görüntü dosyalarının içine gizlenmiş casus yazılımı dağıttı. Dosya adları WhatsApp üzerinden gönderildiklerini düşündüren bu görüntüler (örneğin, WhatsApp Görüntüsü… veya WA0000.jpg ), Samsung güvenlik açığından yararlanmak için kullanıldı. 42. Birim, WhatsApp'ın kendisinde bilinmeyen bir kusur bulamadığını doğruladı.
42. Birim'in yaptığı incelemeler, LANDFALL operasyonunun Samsung'un Nisan 2025'te soruna yönelik bir düzeltme yayınlamasından aylar önce, 2024'ün ortalarında aktif olduğunu ortaya koydu. Araştırmacılar, benzer bir güvenlik açığının (CVE-2025-21043) Eylül 2024'te düzeltildiğini ve bu saldırı yönteminin daha geniş bir eğilimin parçası olduğunu gösterdiğini belirtti.
LANDFALL, bir Samsung Galaxy cihazına (S22, S23, S24, Z Flip4 ve Z Fold4 gibi modeller dahil) kurulduktan sonra, tam özellikli bir dijital casus görevi görür. Veri sızdırma (kayıtlı aramaları, fotoğrafları, kişileri ve tarama geçmişini çalma) ve cihaz parmak izi (IMEI gibi kritik tanımlayıcıları yakalama) gibi özelliklerden gelişmiş kalıcılık ve kaçınma özelliklerine kadar her şeyi içerir. Güvenlik katmanlarını (SELinux gibi) manipüle ederek sisteme derinlemesine nüfuz edebilir ve uzun süreli gözetim için güvenlik uygulamalarından gizlenebilir.
Araştırma, bunun yaygın bir enfeksiyon değil, hedefli bir girişim olduğunu ve Irak, İran, Türkiye ve Fas'taki olası kurbanlar da dahil olmak üzere Orta Doğu'daki faaliyetlere işaret eden kanıtlar olduğunu öne sürüyor. Resmi olarak hiçbir grup suçlanmasa da, Birim 42, dijital kalıpların ve altyapının Stealth Falcon adlı bilinen bir gözetleme grubununkilerle benzerlikler taşıdığını gözlemledi.
Cihazlarını güncel tutan mevcut Samsung Galaxy kullanıcıları, kritik açığın 2025 yılının Nisan ayında giderilmesiyle korunuyor. Ancak LANDFALL'un keşfi, gelişmiş tehditlerin ortalama bir insandan tamamen gizlenerek uzun süre nasıl çalışabileceğini gösteriyor.
HackRead
