Güvenlik araştırmacıları, daha çok Orta Doğu'da hedefli saldırılarda kullanılan ve özellikle Samsung Galaxy cihazlarına karşı tasarlanmış bir Android ticari casus yazılımı keşfetti.

Palo Alto'nun Unit 42'deki güvenlik araştırmacıları, LANDFALL adını verdikleri ve daha önce keşfedilmemiş bir ticari casus yazılım keşfetti. Bu güvenlik açığı, Samsung'un Nisan 2025'te yaygın saldırı bildirimlerinin ardından düzeltme yayınlamasından önce, yaygın olarak kullanıldığı belirtiliyor. Güvenlik açığı Nisan 2025'te Samsung tarafından kapatıldığı, mevcut kullanıcılar açısından ise herhangi bir risk oluşturulmadığı ayrıca belirtiliyor.

LANDFALL, Samsung'un Android görüntü işleme kütüphanesindeki bir sıfırıncı gün açığı olan ve CVE-2025-21042 referansıyla takip edilen zafiyetten yararlanıyor. Casus yazılım, WhatsApp üzerinden gönderilmiş gibi görünen kötü biçimlendirilmiş DNG görüntü dosyaları aracılığıyla dağıtılıyor.

Araştırmacılara göre, bu casus yazılımda muhtemelen sıfır tıklama (0-click) saldırısının kullanıldığı ve bulaştığı cihazlardan mikrofon kaydı, konum takibi, çağrı kaydı, fotoğraf ve kısa mesaj toplama, kişiler ve çağrı geçmişini alma gibi pek çok fonksiyona sahip olduğu belirtiliyor.

Hedeflenen cihaz modelleri arasında Galaxy ZFOLD4, Galaxy ZFlip4, S22, S23 ve S24 serileri yer alıyor.

Tehdit aktörü biliniyor mu?

Araştırmcılar, LANDFALL'ı resmi olarak bilinen bir tehdit aktörü ile ilişkilendiremesede komuta kontrol altyapısı(C2) ve alan adı kayıt kalıpları, Unit 42 tarafından gözlemlenen ve Birleşik Arap Emirlikleri ile güçlü bağları olan tehdit aktörü Stealth Falcon ile ilişkili altyapıya benzerlik gösterdiği gözlemlenmiş.

İkinci olarak incelenen varyantlarda casus yazılımın, kendi hata ayıklama kısımlarında kendisinden "Bridge Head" olarak bahsettiği görülmüş. Bu terim, yine diğer ticari casus yazılımı üreticileri tarafından birinci aşama yükleyiciler için kullanılan yaygın bir takma ad olduğu belirtiliyor.

Altyapı haricinde, hiçbir tehdit aktörüyle doğrudan bir bağlantı kurulamasa da benzerliklerin tartışmaya açık olduğu belirtiliyor.

Potansiyel kurbanlar kimler?

LANDFALL, Orta Doğu'da hedefli saldırı faaliyetlerinde kullanılan, özellikle Samsung Galaxy cihazlarına karşı tasarlanmış bir Android casus yazılımıdır.

Araştımcılar, kötü amaçlı DNG dosyalarına ilişkin VirusTotal'e yükledikleri örneklerden yola çıkarak Irak, İran, Türkiye ve Fas'ta potansiyel hedefler olduğunu belirtiyor.

LANDFALL operasyonlarında kullanılan komuta kontrol (C&C) sunucularına ait IP adreslerinden biri, daha önce USOM (Ulusal Siber Olaylara Müdahale Merkezi) tarafından tespit edilmiş. USOM, 28 Mayıs 2025 tarihinde yayınladığı IP adresin bağlantı türünü "Apt C&C" (Gelişmiş Kalıcı Tehdit Komuta ve Kontrol) olarak etiketlemiş.

Bu durum, LANDFALL casus yazılımının potansiyel hedefleri arasında Türkiye'den kullanıcıların da bulunabileceği ihtimalini arttırıyor.