Türkiye’deki Galaxy telefonlara sızdı! BAE kaynaklı yeni LANDFALL casus yazılımı ifşa oldu
Türkiye’yi doğrudan hedef alan yeni bir siber casusluk operasyonu ortaya çıktı. “LANDFALL” adlı gelişmiş yazılım, Galaxy cihazlarını ele geçirerek mikrofon ve kameraya erişim sağladı. Operasyonu ilk tespit eden kurum ise USOM oldu.
DIŞ HABERLER—Siber güvenlik dünyası, Samsung Galaxy cihazlarını hedef alan yeni bir casus yazılımla sarsıldı.
Palo Alto Networks’ün Tehdit Araştırma Merkezi (Unit 42) tarafından yayımlanan rapora göre, “LANDFALL” adlı gelişmiş seviye casus yazılım, Türkiye, Fas, İran ve Irak’taki kullanıcıları hedef aldı.
Casus yazılımın, Galaxy S22, S23, S24, Z Fold4 ve Z Flip4 modellerine sızabildiği, cihazlardaki bir güvenlik açığını kullanarak yaklaşık bir yıl boyunca tespit edilmeden aktif kaldığı belirtildi.
MİKROFONA, KAMERAYA, MESAJA ERİŞEBİLİYOR
LANDFALL’ın, kullanıcıların konum bilgilerini, çağrı kayıtlarını, mesajlarını, fotoğraflarını ve mikrofon kayıtlarını ele geçirebildiği tespit edildi.
Palo Alto Networks’e göre yazılım, WhatsApp üzerinden gönderilmiş gibi görünen kötü amaçlı görüntü dosyaları (DNG formatı) yoluyla telefonlara bulaşıyor.
Araştırmacılar, kullanılan yöntemin Ağustos 2025’te Apple ve WhatsApp’ta tespit edilen benzer sıfır gün (zero-day) açıklarıyla büyük benzerlik gösterdiğine dikkat çekti.
TÜRKİYE'NİN SİBER KALKANI USOM DEVREYE GİRDİ
Casusluk operasyonunun tespiti sürecinde, Türkiye’nin Ulusal Siber Olaylara Müdahale Merkezi (USOM) kritik bir rol oynadı.
USOM, LANDFALL’ın kullandığı komuta kontrol (C2) sunucularının IP adreslerini ve alan adlarını Mayıs 2025’te tespit ederek “zararlı bağlantılar” listesinde yayımladı.
Kuruluş, bu altyapıyı “en kritik tehdit seviyesi (10/10)” olarak derecelendirdi ve saldırının arkasında gelişmiş bir siber casusluk grubunun (APT) bulunduğunu duyurdu.
USOM SALDIRIYI TESPİT EDEN İLK KURUM OLDU
Türkiye’deki Ulusal Siber Olaylara Müdahale Merkezi (USOM), LANDFALL operasyonunu ilk tespit eden kurum oldu.
USOM tarafından tespit edilen zararlı altyapı IP adresleri ve alan adları şunlar:
194.76.224.127 — brightvideodesigns.com
91.132.92.35 — hotelsitereview.com
92.243.65.240 — healthyeatingontherun.com
192.36.57.56 — projectmanagerskills.com
46.246.28.75 — Alan adı tespit edilemedi
45.155.250.158 — Alan adı tespit edilemedi
SALDIRININ İZİ BAE'YE UZANIYOR
Palo Alto Networks’ün analizine göre LANDFALL, Birleşik Arap Emirlikleri (BAE) merkezli “Stealth Falcon” adlı siber casusluk grubu ile benzer bir altyapı kullanıyor.
Bu grup, daha önce Orta Doğu ülkelerinde devlet destekli siber operasyonlarla gündeme gelmişti.
Uzmanlar, LANDFALL’ın ticari casus yazılım olarak geliştirilen ve devlet istihbarat servislerine satılan yazılımlar arasında olabileceğini ileri sürdü.
SAMSUNG GÜVENLİK AÇIĞINI KAPATTI
Samsung, LANDFALL’ın istismar ettiği güvenlik açığını Eylül 2025’te yayımladığı bir güncellemeyle kapattı. Ancak bu tarihe kadar Türkiye dahil birçok ülkede binlerce cihazın hedef alındığı tahmin ediliyor.
Kullanıcıların cihazlarını güncel tutmaları, bilinmeyen kaynaklardan gelen dosyaları açmamaları ve resmi güvenlik yamalarını yüklemeleri tavsiye edildi.
PALO ALTO NETWORKS'TEN KRİTİK UYARI
Unit 42 raporunda, “LANDFALL, Android tabanlı ticari sınıf bir casus yazılımdır. Samsung Galaxy cihazları için özel olarak geliştirilmiş, gizlilik ihlali ve veri sızdırma amacı taşır” ifadelerine yer verildi.
Şirket, bulgularını Siber Tehdit İttifakı (Cyber Threat Alliance) ile paylaşarak, bu tehdidin küresel ölçekte engellenmesi için iş birliği başlattığını açıkladı.
'da Takip Edin!
