Samsung’un Galaxy S22, S23, S24 serisi ve Z Fold 4 ile Z Flip 4 modellerini hedef alan LANDFALL adlı gelişmiş bir Android casus yazılımı, Nisan 2025’te yamalanmadan önce aktif olarak sıfırıncı gün açığı kullanılarak Orta Doğu’da hedefli saldırılarda kullanıldı. Palo Alto Networks Unit 42’nin raporuna göre, bu saldırılar özellikle Irak, İran, Türkiye ve Fas’taki kullanıcıları hedef aldı.
Açığın Teknik Detayları ve Sömürü Zinciri
Saldırılar, Samsung’un libimagecodec.quram.so bileşenindeki CVE-2025-21042 kodlu sınır dışı yazma (out-of-bounds write) hatasının sömürülmesine dayanıyor. CVSS skoru 8.8 olan bu kritik açık, kullanıcı etkileşimi gerektirmeyen sıfır tıklama (zero-click) yöntemiyle tetiklenebiliyor. Ancak şu an için WhatsApp ya da Android sisteminde bilinmeyen başka bir güvenlik açığına dair kesin bir gösterge bulunmuyor.
LANDFALL saldırıları, kötü amaçlı DNG (Digital Negative) formatında hazırlanmış resimler aracılığıyla WhatsApp üzerinden yayılıyor. Bu DNG dosyalarının içinde gömülü ZIP arşivleri bulunuyor ve bu arşivlerden çıkarılan paylaşılan nesneler (shared objects) casus yazılımın çekirdek bileşenlerini oluşturuyor. Bu bileşenler, cihazın SELinux politikasını manipüle ederek kalıcılık sağlıyor ve HTTPS üzerinden komut ve kontrol (C2) sunucusuna bağlanarak beacon döngüsüne giriyor.
Modüler Yapı ve Gelişmiş Gözetim Yetkinlikleri
Unit 42 kıdemli baş araştırmacısı Itay Cohen, LANDFALL’ın modüler bir casus yazılım çerçevesi olduğunu ve C2 altyapısından ek bileşenler indirip çalıştırmak üzere tasarlandığını belirtti. Bu modüller, mikrofon kaydı, konum takibi, fotoğraf ve SMS erişimi, kişiler ve çağrı kayıtları gibi hassas verilerin toplanmasını sağlıyor. Analiz edilen örneklerde henüz bu ek modüller tespit edilmemiş olsa da, sonraki aşama yüklerinin gözetim ve kalıcılık yeteneklerini artırması muhtemel.
İlgili Diğer Güvenlik Açıkları ve Kampanyalar
Samsung, aynı kütüphanedeki başka bir kritik açık olan CVE-2025-21043’ün de Eylül 2025’te sıfırıncı gün olarak kullanıldığını açıkladı ancak bu açığın LANDFALL kampanyasında kullanıldığına dair kanıt bulunmuyor. Ayrıca, WhatsApp ve Apple iOS/macOS platformlarında CVE-2025-55177 ve CVE-2025-43300 gibi açıklar zincirlenerek karmaşık saldırılar düzenlendi; bu saldırılar 200’den az kullanıcıyı hedef aldı ve yamalarla kapatıldı.
Altyapı ve Operatör İlişkileri
LANDFALL’ın komut ve kontrol altyapısı, Stealth Falcon (FruityArmor) adlı tehdit aktörüyle benzer alan adı kayıt desenleri ve C2 sunucusu yapılarına sahip. Ancak Ekim 2025 itibarıyla doğrudan bir bağlantı tespit edilmedi. Bu durum, aynı operatörlerin veya bağlantılı grupların devam eden veya yeni faaliyetlerinin olabileceğini düşündürüyor.
Teknik Derinlik ve Ek Detaylar
LANDFALL’ın yükleyicisi, MCP (Modular Command Protocol) istemcisi benzeri bir yapıyla C2 sunucusundan komut alıyor ve Pydantic AI tabanlı doğrulama mekanizmalarıyla modüllerin bütünlüğünü kontrol ediyor olabilir. Ayrıca, saldırganların konteyner tabanlı altyapılarda rastgele SSH portları kullanarak erişim sağlaması ve AsyncRAT gibi gelişmiş uzaktan erişim araçlarıyla benzer işlevsellik sunması muhtemel. Bu da saldırganların hem kalıcılık hem de esneklik açısından sofistike yöntemler kullandığını gösteriyor.
Analiz ve Sonuç
Samsung’un Nisan 2025’te yamaladığı CVE-2025-21042 açığı artık aktif olarak kullanılmıyor gibi görünse de, benzer sömürü zincirlerinin Ağustos ve Eylül 2025’te de gözlemlenmesi, bu tür gelişmiş tehditlerin yakın zamanda sona ermediğini ortaya koyuyor. LANDFALL’ın modüler yapısı ve C2 altyapısının hala aktif olması, operatörlerin yeni varyantlar veya farklı hedeflerle saldırılarını sürdürebileceğine işaret ediyor.
Bu saldırılar, WhatsApp gibi yaygın kullanılan mesajlaşma platformlarının kötü amaçlı dosya dağıtımı için nasıl kullanıldığını ve DNG gibi nispeten az bilinen dosya formatlarının bile tehdit aktörleri tarafından istismar edilebileceğini gösteriyor. Siber güvenlik profesyonelleri için, bu tür sıfırıncı gün açıklarının erken tespiti ve hızlı yamalanması kritik önem taşıyor.