Unit 42, LandFall’ın WhatsApp görselleriyle Samsung Galaxy S22–S24’e sızan sıfır gününü (CVE-2025-21042) ortaya çıkardı. Nisan 2025 yamalarını yükleyin.
© A. Krivonosov
Palo Alto Networks’ün Unit 42 ekibi, son bir yıl içinde Orta Doğu genelinde Samsung Galaxy akıllı telefonları hedef alan ve LandFall adlı kötü amaçlı yazılımı kullanan geniş çaplı bir kampanyayı ortaya çıkardı. Zararlı kod, WhatsApp üzerinden gönderilen görsellerle yayıldı ve Samsung tarafından geliştirilen Android görsel işleme kitaplığındaki bir sıfır gün açığından yararlandı. Mesajlara iliştirilen bir fotoğrafın saldırı yüzeyi hâline gelmesi, günlük alışkanlıkların ne kadar kırılgan olabildiğini hatırlatıyor.
Sömürü, saldırganların cihazda rastgele kod çalıştırmasına ve fiilen tam kontrol elde etmesine imkân tanıdı. İçeri girdikten sonra LandFall; fotoğraflar, yazışmalar ve kişilerden mikrofona ve hatta gerçek zamanlı konuma kadar kişisel verilere kapı açtı. Herhangi bir dokunuş ya da indirme şart değildi; tuzaklanmış bir görseli almak bile yetiyordu. Bu tür temasız bulaşmalar, kullanıcıyı oyuna dahil etmeden güvenlik katmanlarının aşılabildiğini gösteriyor.
Uzmanlara göre saldırılar Temmuz 2024’te başladı; Galaxy S22, S23 ve S24 modelleri ile bazı Galaxy Z Fold cihazlarını vurdu. Bulaşmalar Türkiye, Fas, İran ve Irak’ta gözlendi. Uzman değerlendirmeleri, LandFall’ın belirli kişileri hedef alan operasyonlarda kullanılan ticari bir casus yazılım olduğuna işaret ediyor. Seçici hedefleme, kampanyanın tesadüfi değil, amaçlı bir çizgide yürütüldüğünü düşündürüyor.
CVE‑2025‑21042 olarak izlenen zafiyet, Nisan 2025 güvenlik güncellemesiyle giderildi. Galaxy S25 dahil en yeni modeller etkilenmiyor. Sıradan bir fotoğrafla içeri sızabilen saldırılar, rehaveti en büyük açık hâline getiriyor; tam sürüm yükseltmeleri gelmese bile güvenlik yamalarını vakit kaybetmeden kurmanın önemini hatırlatıyor.