“Landfall” olarak bilinen karmaşık bir casus yazılım kampanyasının, Samsung Galaxy akıllı telefon ve muhtemelen diğer Android cihaz sahiplerini hedef aldığı tespit edildi. Kampanya, siber güvenlik araştırmacıları Palo Alto Networks’ Unit 42 tarafından ortaya çıkarıldı ve aracın Samsung’un görüntü işleme kitaplığı libimagecodec.quram.so sıfır gün uzaktan kod yürütme güvenlik açığı (CVE-2025-21042) kullandığını söyledi. Kusurun önem derecesi 10 üzerinden 9,8’di ve saldırganların kullanıcı etkileşimi olmadan bir cihazın tam kontrolünü ele geçirmesine olanak tanıdı.
Rapora göre casus yazılım, WhatsApp veya diğer mesajlaşma uygulamaları aracılığıyla paylaşılmış gibi görünen kötü amaçlı DNG görüntü dosyalarına yerleştirildi. Dosyalar açıldığında, sistemin SELinux politikaları aracılığıyla yükseltilmiş izinler veren bir yükleyici ve bir politika manipülatör modülü yükleyen gizli bir .zip arşivi çıkardı. Casus yazılım etkinleştirildikten sonra konum verilerini, mikrofon kayıtlarını, arama geçmişini, mesajları, fotoğrafları ve dosyaları toplayabilir. Ayrıca yerel kodu çalıştırabilen, kitaplıklar ekleyebilen ve orijinal görüntü dosyalarını kaldırarak tespit edilmekten kaçınabilen kalıcılık mekanizmalarına da sahipti.
Etkilenen cihazlar arasında Samsung Galaxy S22, S23, S24, Z Fold4 ve Z Flip4 modelleri yer alıyor. Kampanyaların Irak, İran, Türkiye ve Fas dahil olmak üzere Orta Doğu ve Kuzey Afrika’daki mağdurlara odaklandığı görülüyor. Doğrudan bir atıf yapılmamasına rağmen, Birim 42, aracın “ticari sınıf” göründüğünü ve muhtemelen devlet kurumlarına hizmet sağlayan özel sektör saldırgan aktörleri tarafından kullanıldığını söylüyor.
Samsung kullanıcıları, cihazlarını korumak için hemen harekete geçmeli
Samsung, güvenlik açığını gidermek için Nisan 2025’te ürün yazılımı güncellemeleri yayınladı ve kullanıcılardan mevcut tüm yamaları derhal uygulamaları isteniyor. Güncellemeleri uygulamayan mağdurlar, gözle görülür herhangi bir uzlaşma belirtisi olmaksızın uzaktan ele geçirme riskiyle karşı karşıya kalabilir. Birim 42, saldırganlar tarafından aktif olarak kullanılan en az altı komuta ve kontrol sunucusu tespit etti ve bu da operasyonun devam ettiğini gösteriyor.
Güvenlik uzmanları, Galaxy sahiplerinin birkaç önemli adım atmasını tavsiye ediyor: cihaz yazılımlarının tamamen güncellendiğinden emin olun, bilinmeyen veya istenmeyen kaynaklardan gelen resim eklerini açmaktan kaçının ve biyometrik kimlik doğrulama veya PIN kodları gibi cihaz düzeyinde güçlü korumaları etkinleştirin. Ayrıca, yalnızca güvenilir mağazalardaki uygulamaları kullanmanız ve varsa Samsung Knox veya Android’in yerleşik tehdit algılama özelliği gibi özellikleri etkinleştirmeniz önerilir. Casus yazılım derin sistem izinlerine erişebildiğinden, standart kötü amaçlı yazılımdan koruma araçlarının ötesinde yöntemler gerekebilir.
Bu olay, DNG dosyaları gibi mesaj tabanlı enfeksiyon vektörlerinin mobil kullanıcılara nasıl güçlü tehditler sunabileceğini gösteriyor. Ayrıca, yaygın olarak kullanılan bir cihazın gelişmiş casusluk araçlarının hedefine girmesi durumunda ortaya çıkan risklerin de altını çiziyor. Etkilenen kullanıcılar için artık odak noktası algılama, kontrol altına alma ve düzeltme olmalıdır.