Siber güvenlik araştırmacıları, neredeyse bir yıldır Samsung Galaxy telefonlarını hedef alan gelişmiş Android casus yazılımını keşfetti.
2024 yılı ortasından bu yana yürütülen gizli siber casusluk kampanyasında “Landfall” adlı yazılımın kullanıldığı anlaşılıyor.
Araştırmayı yürüten Palo Alto Networks Unit 42 ekibi, Landfallu'nun ilk olarak Temmuz 2024'te tespit edildiğini ve Samsung'un o dönemde farkında olmadığı bir güvenlik açığından yararlandığını duyurdu.
Bu tür güvenlik açıklarına siber güvenlikte “sıfır gün” adı verilmektedir. Sıfır gün güvenlik açığı henüz keşfedilmemiş bir güvenlik hatası olsa da bu hatayı kullanarak sisteme sızma eylemine sıfır gün saldırısı adı verilir.
KULLANICI ETKİLEŞİMİNE GEREK YOKTUR
Unit 42'nin bulgularına göre saldırganlar, bu güvenlik açığından özel hazırlanmış bir görüntü dosyası aracılığıyla yararlandı. Dosya büyük olasılıkla bir mesajlaşma uygulaması aracılığıyla gönderildi ve mağdurun herhangi bir işlem yapmasına gerek kalmadan cihaza bulaşabilir.
Samsung, bu güvenlik açığını Nisan 2025'te yayınladığı bir güvenlik güncellemesiyle giderdi. Ancak bu güvenlik açığı üzerinden Landfall casus yazılım kampanyasının ayrıntıları şu ana kadar kamuoyuna açıklanmadı.
HEDEF ORTADOĞU MI?
Araştırmacılar, yazılımı geliştiren gözetleme şirketinin kimliğinin bilinmediğini ancak saldırıların Orta Doğu'daki belirli kişileri hedef aldığına inandıklarını söylüyor.
Unit 42 kıdemli araştırmacısı Itay Cohen, TechCrunch'a yaptığı açıklamada bu operasyonu “boş nokta saldırısı” olarak nitelendirdi ve yazılımın yaygın bir kötü amaçlı yazılım olmadığını ve casusluk amacıyla kullanıldığını söyledi.
Ekip ayrıca Landfall'ın dijital altyapısının, daha önce BAE gazetecilerine ve aktivistlerine yönelik saldırılarda kullanılan “Stealth Falcon” adlı iyi bilinen bir gözetleme aracıyla benzerlikler taşıdığını da buldu. Ancak bu benzerlik, saldırıların kesinlikle hükümet bağlantılı olduğunu kanıtlamaya yetmedi.
TÜRKİYE DAHİL 4 ÜLKEDEN TAKİP EDİLİYOR
Birim 42, Landfall örneklerinin 2024'te ve 2025'in başlarında Fas, İran, Irak ve Türkiye'den kullanıcılar tarafından VirusTotal kötü amaçlı yazılım tarama platformuna yüklendiğini buldu. VirusTotal, herkesin dosya veya bağlantı yükleyebileceği ve bunları kötü amaçlı yazılımlara karşı tarayabileceği ücretsiz bir çevrimiçi güvenlik platformudur.
Türkiye'nin ulusal siber güvenlik ekibi USOM (Ulusal Siber Olaylara Müdahale Merkezi) de Landfall'ın kullandığı IP adreslerinden birini kötü amaçlı olarak işaretledi. Bu durum Türk kullanıcıların da hedef alındığını gösteriyor.
SPYWARE NE YAPABİLİR?
Landfall, tıpkı devlet destekli casus yazılımlar gibi, cihazınızdaki neredeyse tüm verilere erişebilir. Bunlara fotoğraflar, mesajlar, kişiler ve çağrı kayıtları dahildir.
Yazılım ayrıca cihazın mikrofonu aracılığıyla ortamı dinleyebilir ve konumunuzu takip edebilir.
Unit 42'nin analizine göre yazılımın kaynak kodunda Galaxy S22, S23, S24 ve bazı Z serisi modellerinin açıkça hedef olarak belirtildiği görüldü.
Cohen, aynı güvenlik açığının Android 13'ten 15'e kadar olan sürümleri çalıştıran diğer Galaxy cihazlarını da etkileyebileceğini söyledi.
Samsung konuyla ilgili herhangi bir açıklama yapmadı.