Siber güvenlik araştırmacıları, neredeyse bir yıldır Samsung Galaxy telefonlarını hedef alan “Landfall” adlı gelişmiş bir Android casus yazılımını ortaya çıkardı. Yazılımın, 2024 ortalarından itibaren yürütülen gizli bir siber casusluk operasyonunda kullanıldığı tespit edildi.
Araştırmayı yürüten Palo Alto Networks’ün Unit 42 ekibi, Landfall’un ilk kez Temmuz 2024’te keşfedildiğini ve Samsung’un o dönemde farkında olmadığı bir “sıfır gün” güvenlik açığından yararlandığını açıkladı. Bu tür açıklar, sistemde daha önce bilinmeyen bir hatadan faydalanılarak gerçekleştirilen saldırıları tanımlamak için kullanılıyor.
Kullanıcı etkileşimi olmadan bulaşabiliyor
Unit 42’nin raporuna göre, saldırganlar özel olarak hazırlanmış bir görüntü dosyası üzerinden cihazlara sızmayı başardı. Bu dosya, büyük olasılıkla mesajlaşma uygulamaları aracılığıyla gönderiliyordu ve kurbanın herhangi bir işlem yapmasına gerek kalmadan telefonu enfekte edebiliyordu. 
Samsung, açığı Nisan 2025’te yayımladığı güvenlik güncellemesiyle kapattı. Ancak casus yazılımın yürüttüğü kampanyaya dair detaylar yeni gün yüzüne çıktı.
Hedefte Orta Doğu ve Türkiye
Araştırmacılar, Landfall’un arkasındaki grubun kimliğinin belirsiz olduğunu ancak saldırıların özellikle Orta Doğu’daki belirli kişileri hedef aldığını düşünüyor. Unit 42 araştırmacısı Itay Cohen, yazılımın “genel bir zararlı yazılım değil, özel amaçlı bir casusluk aracı” olduğunu belirtti.
Ekip ayrıca Landfall’un dijital altyapısının, geçmişte BAE’li gazeteci ve aktivistlere yönelik saldırılarda kullanılan “Stealth Falcon” aracıyla benzerlikler taşıdığını saptadı. Ancak bu benzerlik, doğrudan bir hükümet bağlantısını kanıtlamaya yetmiyor.
Türkiye’den de izler bulundu
Unit 42, 2024-2025 döneminde Fas, İran, Irak ve Türkiye kaynaklı bazı dosyaların VirusTotal platformuna yüklendiğini tespit etti. Türkiye’nin Ulusal Siber Olaylara Müdahale Merkezi (USOM) da Landfall’un kullandığı bazı IP adreslerini zararlı olarak işaretledi. Bu durum, Türk kullanıcıların da hedef alınmış olabileceğini gösteriyor.
Galaxy modelleri açıkça hedefte
Landfall, cihazlardaki fotoğraflar, mesajlar, kişiler, çağrı geçmişi ve mikrofon verileri dahil olmak üzere neredeyse tüm bilgilere erişebiliyor. Ayrıca konum takibi ve ortam dinlemesi de yapabiliyor.
Analizlere göre yazılımın kaynak kodunda Galaxy S22, S23, S24 ve bazı Z serisi modellerin doğrudan hedef alındığı görüldü. Aynı güvenlik açığının, Android 13 ile 15 arasında çalışan diğer Galaxy cihazlarını da etkileyebileceği tahmin ediliyor.
