Güvenlik araştırmacıları, Samsung Galaxy telefonları hedef alan bir Android casus yazılımını, neredeyse bir yıl süren bir hacking kampanyası sırasında keşfetti.
Palo Alto Networks’ün Unit 42 ekibi, bu casus yazılıma “Landfall” adını verdi. Yazılım, Temmuz 2024’te tespit edildi ve o dönemde Samsung tarafından bilinmeyen bir güvenlik açığını, yani zero-day olarak bilinen bir tür zafiyeti istismar ediyordu.
Unit 42, bu açığın, kurbanın telefonuna kötü niyetli bir şekilde hazırlanmış bir görüntü gönderilerek kötüye kullanılabileceğini, bunun da muhtemelen bir mesajlaşma uygulaması üzerinden iletilebileceğini belirtti. Ayrıca, saldırıların kurbanın herhangi bir etkileşimine ihtiyaç duymayabileceği ifade edildi.
Samsung, bu güvenlik açığını -CVE-2025-21042 olarak takip edilen- Nisan 2025’te düzeltmiş olsa da, bu açığı istismar eden casus yazılım kampanyasına dair daha önce herhangi bir bilgi verilmemişti.
Araştırmacılar, Landfall casus yazılımının hangi gözetim firması tarafından geliştirildiğinin bilinmediğini ve kampanya kapsamında kaç bireyin hedef alındığının da belirsiz olduğunu vurguladı. Ancak, saldırıların büyük olasılıkla Orta Doğu’daki bireyleri hedef aldığı ifade ediliyor.
Unit 42’de kıdemli araştırmacı olan Itay Cohen, bu hacking kampanyasının belirli bireylere yönelik bir “hassas saldırı” içerdiğini ve bu nedenle saldırıların muhtemelen casusluk amaçlı olduğunu aktardı.
Unit 42, Landfall casus yazılımının, daha önce 2012’den itibaren Birleşik Arap Emirlikleri’ndeki gazetecilere, aktivistlere ve muhaliflere karşı yapılan saldırılarda görülen bir gözetim firması olan Stealth Falcon ile örtüşen dijital altyapıyı paylaştığını keşfetti. Ancak, Stealth Falcon ile olan bu bağlantıların, saldırıların belirli bir hükümet müşterisine atfedilmesi için yeterli olmadığını belirttiler.
Unit 42, keşfettikleri Landfall casus yazılımı örneklerinin, 2024 ve 2025’in başlarında Fas, İran, Irak ve Türkiye’deki bireylerden VirusTotal adlı kötü amaçlı yazılım tarama hizmetine yüklendiğini bildirdi.
Türkiye’nin ulusal siber hazırlık ekibi USOM, Landfall casus yazılımının bağlandığı IP adreslerinden birini kötü niyetli olarak işaretledi. Bu durum, Türkiye’deki bireylerin hedef alındığı teorisini destekliyor.
Diğer hükümet casus yazılımlarında olduğu gibi, Landfall da geniş cihaz gözetimi yapabilme yeteneğine sahip. Bu, kurbanın fotoğrafları, mesajları, kişiler ve arama geçmişi gibi verilerine erişimin yanı sıra, cihazın mikrofonunu dinleme ve kesin konumlarını takip etme yeteneklerini içeriyor.
Unit 42, casus yazılımın kaynak kodunun, Galaxy S22, S23, S24 ve bazı Z modelleri dahil olmak üzere beş spesifik Galaxy telefonunu hedef aldığını tespit etti. Cohen, açığın diğer Galaxy cihazlarında da mevcut olabileceğini ve Android sürümleri 13 ile 15 arasında etkilenen cihazlar olabileceğini belirtti.
Samsung, konuya ilişkin bir yorum talebine yanıt vermedi.
