Türkiye'yi hedef alan yeni bir siber casusluk saldırısı, Samsung Galaxy cihazlarının güvenliğini tehdit ediyor. Palo Alto Networks’ün Tehdit Araştırma Merkezi (Unit 42) tarafından yayımlanan rapora göre, "LANDFALL" adlı casus yazılım, kullanıcıların telefonlarına sızarak mikrofon ve kameralarına erişim sağlıyor. Bu durum, kullanıcıların özel verilerinin tehlikeye girmesine yol açıyor.

LANDFALL CASUS YAZILIMININ ÖZELLİKLERİ

LANDFALL, Türkiye, Fas, İran ve Irak'taki kullanıcıları hedef alarak, Samsung'un Galaxy S22, S23, S24, Z Fold4 ve Z Flip4 modellerine sızmayı başardı. Casus yazılım, cihazlardaki güvenlik açıklarını kullanarak yaklaşık bir yıl boyunca tespit edilmeden aktif kaldı. Uzmanlar, bu yazılımın mikrofon ve kameraya uzaktan erişim sağlama yeteneğinin yanı sıra konum bilgisi, mesajlar, çağrı kayıtları, fotoğraf ve video gibi kişisel verileri toplama kabiliyetine sahip olduğunu belirtiyor.

LANDFALL, kullanıcıların WhatsApp üzerinden gönderilmiş gibi görünen sahte DNG formatındaki fotoğraf dosyaları aracılığıyla bulaşmakta. Araştırmacılar, bu yöntemin Ağustos 2025'te Apple ve WhatsApp platformlarında ortaya çıkan "sıfır gün" açıklarına benzerlik taşıdığını ifade ediyor. USOM’UN TESPİTİ VE TEHDİT SEVİYESİ

Türkiye’nin Ulusal Siber Olaylara Müdahale Merkezi (USOM), LANDFALL yazılımının kullandığı komuta-kontrol (C2) altyapısını Mayıs 2025'te tespit ederek, bu zararlı bağlantıları listesine dahil etti. USOM, bu altyapıyı "en kritik tehdit seviyesi (10/10)" olarak sınıflandırdı ve saldırının arkasında ileri düzey bir siber casusluk grubunun (APT) olduğunu duyurdu. Tespit edilen zararlı IP adresleri ve alan adlarından bazıları arasında brightvideodesigns.com ve healthyeatingontherun.com gibi siteler bulunuyor.

SAMSUNG’UN ÖNLEMLERİ

Palo Alto Networks’ün analizine göre, LANDFALL yazılımı, Birleşik Arap Emirlikleri merkezli "Stealth Falcon" adlı siber casusluk grubu ile benzer bir altyapı kullanıyor. Bu grup, daha önce Orta Doğu ülkelerinde devlet destekli siber operasyonlarla dikkat çekmişti. Samsung, LANDFALL’ın istismar ettiği güvenlik açığını Eylül 2025’te yayımladığı bir güncellemeyle kapattı. Ancak, bu tarihe kadar Türkiye dahil birçok ülkede binlerce cihazın hedef alındığı tahmin ediliyor.