Siber güvenlik dünyası, Samsung Galaxy telefonlarını hedef alan “Landfall” isimli gelişmiş bir Android casus yazılımını konuşuyor. Neredeyse bir yıl boyunca gizli kalan yazılımın, kullanıcıların hiçbir işlem yapmasına gerek kalmadan cihazları ele geçirebildiği ve Türkiye dahil 4 ülkeden izler taşıdığı ortaya çıktı.
Akıllı telefon güvenliğini temelden sarsan bir keşif yapıldı. Palo Alto Networks’ün Unit 42 araştırma ekibi, 2024 yılının ortalarından bu yana Samsung Galaxy cihazlarını hedef alan “Landfall” adında sofistike bir casus yazılımı açığa çıkardı. Bu yazılımın, gizli bir siber casusluk kampanyasında kullanıldığı belirtildi.
“Sıfır Gün” Açığıyla Tam Erişim
Araştırmacılara göre Landfall, ilk olarak Temmuz 2024’te tespit edildi ve o dönem Samsung’un dahi farkında olmadığı kritik bir güvenlik açığından faydalandı. Siber güvenlik terminolojisinde “sıfır gün” (zero-day) olarak bilinen bu tür açıklar, yazılım geliştiricisi tarafından henüz keşfedilmemiş ve yamalanmamış güvenlik zafiyetlerini ifade ediyor.
Unit 42’nin bulgularına göre saldırganlar, bu açığı özel olarak hazırlanmış bir görüntü dosyası aracılığıyla istismar etti. Kurbana büyük olasılıkla bir mesajlaşma uygulaması üzerinden gönderilen bu dosya, cihazı ele geçirmek için kurbanın herhangi bir bağlantıya tıklamasına veya dosyayı açmasına gerek duymuyordu.
Samsung, bu tehlikeli açığı Nisan 2025’te yayımladığı bir güvenlik güncellemesiyle kapatmış olsa da, Landfall’un bu süreçte yürüttüğü kampanyanın detayları bugüne kadar gizli kalmıştı.
Hedef Ortadoğu mu? Türkiye’den İzler Bulundu
Yazılımı geliştiren gözetim şirketinin kimliği henüz netlik kazanmazken, saldırıların Ortadoğu’daki belirli kişileri hedef alan “nokta atışı bir saldırı” olduğu düşünülüyor. Unit 42’den kıdemli araştırmacı Itay Cohen, yazılımın yaygın bir zararlı yazılım olmadığını, özel olarak casusluk amaçlı kullanıldığını vurguladı.
Araştırmacılar, Landfall’un dijital altyapısının, daha önce BAE’li gazeteci ve aktivistlere yönelik saldırılarda kullanılan “Stealth Falcon” adlı bilinen bir gözetim aracıyla benzerlikler taşıdığını da belirtti.
Daha da endişe verici olan ise, Landfall örneklerinin 2024 ve 2025 başlarında Fas, İran, Irak ve Türkiye’den kullanıcılar tarafından VirusTotal adlı kötü amaçlı yazılım tarama platformuna yüklenmiş olması. Ayrıca, Türkiye’nin Ulusal Siber Olaylara Müdahale Merkezi (USOM) da Landfall’un kullandığı IP adreslerinden birini zararlı olarak işaretledi. Bu durum, Türk kullanıcıların da hedef alınmış olabileceği ihtimalini güçlendiriyor.
Neler Yapabiliyor? Hangi Modeller Risk Altında?
Landfall, tıpkı diğer devlet destekli casus yazılımlar gibi, enfekte ettiği cihaz üzerinde neredeyse tam kontrole sahip oluyor. Yazılımın yetenekleri arasında şunlar bulunuyor:
- Fotoğraflar, mesajlar, kişiler ve çağrı kayıtları dahil tüm verilere erişim.
- Cihaz mikrofonu üzerinden ortam dinlemesi yapma.
- Konum takibi gerçekleştirme.
Unit 42’nin analizine göre, yazılımın kaynak kodunda Galaxy S22, S23, S24 ve bazı Z serisi katlanabilir modellerin açıkça hedef olarak belirtildiği görüldü. Araştırmacılar, aynı açığın Android 13’ten 15’e kadar olan sürümleri çalıştıran diğer Galaxy cihazlarını da etkilemiş olabileceğini belirtiyor.
Konuyla ilgili Samsung tarafından henüz resmi bir açıklama yapılmadı.
