Siber güvenlik dünyası, Samsung Galaxy cihazlarını hedef alan yeni bir siber casusluk saldırısıyla gündeme geldi. Palo Alto Networks Unit 42 tarafından yayımlanan rapora göre, “LANDFALL” adlı gelişmiş casus yazılım; Türkiye, Fas, İran ve Irak’taki kullanıcıları hedef aldı.

Türkiye gazetesinde yer alan bilgilere göre, yazılımın Galaxy S22, S23, S24, Z Fold4 ve Z Flip4 modellerine sızabildiği ve cihazlardaki bir güvenlik açığını kullanarak yaklaşık bir yıl boyunca tespit edilmeden aktif kaldığı belirlendi.

Mikrofon ve kameraya uzaktan erişim

Uzmanlar, LANDFALL’ın ileri düzey casusluk kabiliyetlerine sahip olduğunu belirtti. Yazılımın;

• Mikrofon ve kameraya uzaktan erişim sağladığı,

• Konum bilgisi, mesajlar, çağrı kayıtları, fotoğraf ve videolar dahil çok sayıda kişisel veriyi topladığı,

• WhatsApp üzerinden gönderilmiş gibi görünen DNG formatındaki sahte fotoğraf dosyaları aracılığıyla cihaza bulaştığı tespit edildi.

Araştırmacılar, kullanılan yöntemin Ağustos 2025’te Apple ve WhatsApp’ta ortaya çıkan “sıfır gün” (zero-day) açıklarına benzerlik gösterdiğini ifade etti.

USOM: En kritik tehdit seviyesi

Türkiye’nin Ulusal Siber Olaylara Müdahale Merkezi (USOM), LANDFALL’ın kullandığı komuta-kontrol (C2) altyapısını Mayıs 2025’te tespit ederek zararlı bağlantılar listesine dahil etti. USOM, söz konusu altyapıyı “en kritik tehdit seviyesi (10/10)” olarak sınıflandırdı ve saldırının arkasında ileri düzey bir siber casusluk grubu (APT) bulunduğunu duyurdu.

Zararlı IP adresleri ve alan adları

USOM tarafından tespit edilen zararlı IP adresleri ve alan adlarından bazıları şöyle sıralandı:

• 194.76.224.127 — brightvideodesigns.com

• 91.132.92.35 — hotelsitereview.com

• 92.243.65.240 — healthyeatingontherun.com

• 192.36.57.56 — projectmanagerskills.com

• 46.246.28.75 — Alan adı tespit edilemedi

• 45.155.250.158 — Alan adı tespit edilemedi

Stealth Falcon bağlantısı

Palo Alto Networks’ün analizine göre, LANDFALL, Birleşik Arap Emirlikleri (BAE) merkezli “Stealth Falcon” adlı siber casusluk grubuyla benzer bir altyapı kullanıyor. Bu grubun daha önce Orta Doğu ülkelerinde devlet destekli siber operasyonlar ile gündeme geldiği biliniyor.

Güvenlik açığı güncellemeyle kapatıldı

Samsung, LANDFALL’ın istismar ettiği güvenlik açığını Eylül 2025’te yayımlanan bir güncellemeyle kapattığını açıkladı. Ancak bu tarihe kadar Türkiye dahil birçok ülkede binlerce cihazın saldırının hedefi olduğu tahmin ediliyor.

Uzmanlar, kullanıcıların cihaz güncellemelerini düzenli olarak yapmaları, bilinmeyen dosyaları açmamaları ve resmi uygulama mağazaları dışındaki kaynaklardan gelen içeriklere karşı dikkatli olmaları konusunda uyarıda bulundu.