Casus Yazılım← İçindekiler

Casus Yazılım

Kamu Görevlisi

Telefonun geçeleri ısınıyor. Şarjı su gibi bitiyor. Ekran kendi kendine açılıp kapanıyor. Tanımadığın mesaj izleri görüyorsun. İlk akla gelen: “Yazılım güncellemesi kötü çıktı” veya “Pil eskidi.” Ama bazen cevap daha rahatsız edicidir: birisi telefonunun içinde. O sessizce oturuyor, yaptıklarını kaydediyor, duyduklarını dinliyor. Casus yazılımların belirtileri çoğu zaman masum sorunlara benzer. Ama birkaç işaret bir araya geldiğinde, şüphe etmek için yeterli sebebin var demektir.

Senaryo: Telefonum garip davranıyor

“Telefonum garip davranıyor.” Geceleri sıcak, şarjın su gibi bitiyor, ekran kendi kendine açılıyor ve bazen tanımadığın mesaj izleri görüyorsun. Birisi telefonuna sızdı mı, yoksa sadece eski bir pil mi? Bu bölümde farkı nasıl anlayacağını öğreneceksin.

Telefonda casus yazılım olduğunu gösteren tek bir kesin kanıt yoktur. Ama birkaç belirti bir araya gelirse ciddi şüphe duyman gerekir. Aşağıdaki tablo en yaygın belirtileri ve arkasında ne olabileceğini özetliyor.

Hızlı ipucu: 10 saniyede yap: Telefonunun pil kullanımına bak. Ayarlar > Pil. En çok pili hangi uygulama harcıyor? Tanımadığın bir uygulama varsa bu bir uyarı işaretidir.

25.1 Hızlı Teşhis: Belirti Tablosu

Casus yazılım belirtileri ve açıklamaları
BelirtiNe Oluyor
Aşırı ısınmaHiç dokunmamışken telefon sıcak. Arkada bir yazılım sürekli mikrofonu dinliyor, konum gönderiyor veya ekran görüntüsü alıyor.
Batarya hızlı bitiyorŞarjın su gibi gidiyorsa ve yoğun kullanmadıysan, arkada sürekli çalışan bir şey var.
Ekran kendi kendine açılıyorKilit ekranı durup dururken açılıyorsa uzaktan bir kumanda etkin olabilir.
Kamera veya mikrofon ışığı yanıp sönüyorYeşil veya turuncu nokta sen bir şey yapmazken yanıyorsa kamera ya da mikrofon arka planda aktif.
İnternet kotası hızlı eriyorCasus yazılım topladığı verileri kendi sunucusuna yüklüyor. Veri kullanım ayarlarını kontrol et.
Telefon yavaşlıyor, takılıyorKlavyede harfler arkadan geliyorsa, uygulamalar donuyorsa bir klavye kaydedici (keylogger) her parolanı kaydediyor olabilir. Klavye kaydediciler yüklü olarak kalabileceği gibi, hiç iz bırakmadan yalnızca bellekte (RAM) çalışan taşınabilir (portable) versiyonları da vardır.
Fare tıklamalarında ekran titremesiEkran görüntüsü kaydedici (screenlogger) aktif olabilir. Bu tür yazılımlar fareyle her tıklamada ekran görüntüsü alır. Özellikle bankaların sanal klavyelerine tıkladığın yerleri kaydetmek için kullanılır.
Kapat aç sonrası da tuhaf davranıyorPegasus, Predator gibi gelişmiş yazılımlar telefon kapatılıp açılsa bile cihazda kalıcı (persistent) olabilir. Sorun tekrar ediyorsa üst düzey casus yazılım şüphesi var.
Bilinmeyen mesajlar ve aramalarWhatsApp’tan açmadığın halde arama kaydında tanımadığın numaralar varsa, veya gelen kutusunda silinmiş garip mesaj izleri varsa, sıfır tıklama (zero-click) saldırısı gerçekleşmiş olabilir.

Bu belirtilerin üç veya daha fazlası bir arada görülüyorsa casus yazılım ihtimali yüksektir. Hemen aşağıdaki kendi kendine kontrol adımlarını uygula.

25.2 Kendi Kendine Kontrol

Belirtileri fark ettikten sonra telefonunu detaylıca incele. Hem Android hem iPhone için adımlar aşağıda.

Android

  1. Ayarlar > Uygulamalar listesini aç. Tanımadığın, isimsiz veya garip ikonlu uygulamalar var mı bak.
  2. Ayarlar > Güvenlik > Cihaz yöneticileri (veya Cihaz yönetimi) bölümüne gir. Burada tanımadığın bir yönetici uygulaması listeleniyorsa casus yazılım kendine özel yetki almış olabilir.
  3. Ayarlar > Uygulamalar > Özel erişim > Diğer tüm dosyalara eriş kısmını kontrol et. Şüpheli bir uygulama varsa erişimi iptal et.
  4. Veri kullanımı ayarlarını aç. Hangi uygulama ne kadar veri tüketiyor listele. Beklenmeyen yüksek veri tüketimi olan uygulamaları not al.
  5. Google Play Protect ayarlarının açık olduğundan emin ol. Ayarlar > Güvenlik > Google Play Protect menüsünden cihazı tara.
  6. Bildirim geçmişini kontrol et. Silinmiş veya gizlenmiş bildirimler var mı bak.

iPhone

  1. Ayarlar > Gizlilik ve Güvenlik > Uygulama İzinleme Raporu nu aç. Hangi uygulama ne zaman sensörlere, kameraya veya mikrofona erişmiş detaylıca gör.
  2. Ayarlar > Genel > VPN ve Cihaz Yönetimi kısmına gir. Tanımadığın bir yapılandırma profili varsa casus yazılım göstergesi olabilir.
  3. Ayarlar > Pil bölümünde son 24 saat ve 10 günlük pil kullanımını incele. Beklenmeyen yüksek tüketim kaynağını ara.
  4. Analitik ve İyileştirmeler verilerini kontrol et. Ayarlar > Gizlilik ve Güvenlik > Analitik ve İyileştirmeler yolunu izle. Şüpheli işlem adları ara.
  5. iOS güncellemesinin en son sürümde olduğundan emin ol. Apple güvenlik yamalarını düzenli olarak yayımlar.
Telefonda casus yazılım taraması yapan bir uygulama kullanabilir miyim?

Evet ama dikkatli ol. Malwarebytes, Certo ve benzeri uygulamalar temel bir tarama yapabilir. Ancak Pegasus ve Predator gibi üst düzey casus yazılımlar bu taramalardan gizlenmek için tasarlanır. Güvenilir bir tarama sonucu “temiz” çıktığında bile %100 güvende olduğun anlamına gelmez. Ciddi bir şüphen varsa Casus Yazılım Teşhis bölümündeki gelişmiş kontrol protokolüne geç.

Eşim veya partnerim casus yazılım yükleyebilir mi?

Maalesef evet. “Partnerware” adı verilen casus yazılımlar, yakın çevreden birinin fiziksel erişimle telefonuna yüklediği yazılımlardır. İlişki kontrolü veya şüphe amacıyla kullanılır. Bu tür yazılımlar genellikle ayarlar > güvenlik bölümünde “sistem servisi” gibi masum isimlerle gizlenir. Eğer telefonuna fiziksel erişimi olan biri varsa ve yukarıdaki belirtileri görüyorsan, partnerware ihtimalini de göz önünde bulundur.

25.3 Şüphelendiğinde Ne Yapma

Casus yazılım şüphelendiğinde izlemen gereken adımlar:

  1. Panik yapma, sakin davran. Casus yazılım senin panik yapmanı bekler. Acele kararlar verirsen yanlış adım atarsın.
  2. Kanıtları koru. Şüpheli ekran görüntülerini al. Pil kullanım grafiklerini, veri kullanım kayıtlarını, şüpheli uygulama listelerini başka bir cihaza yedekle. Bu kanıtlar sonra teknik analiz için gerekli olacak.
  3. Telefonu normal kullanmaya devam et. Casus yazılım senin onu fark ettiğini bilirse davranış değiştirebilir, kendini gizleyebilir veya verileri acil olarak silip kaçabilir.
  4. Güvenilir bir cihazdan parolalarını değiştir. Şüphelendiğin telefondan giriş yapma. Başka bir cihaz kullan. Öncelikle e-posta ve banka hesaplarının parolalarını değiştir, iki aşamalı doğrulamayı aç.
  5. Casus Yazılım Teşhis bölümüne geç. Üst düzey casus yazılım (Pegasus, Predator) şüphesi varsa Casus Yazılım Teşhis bölümündeki “Sızıldığından Şüpheleniyorsan” protokolünü uygula. Casus Yazılım Teşhis bölümündeki gelişmiş kontrol akışı seni adım adım yönlendirecek.
Bunu Yap
  • Şüpheli uygulamaların ekran görüntüsünü al ve yedekle
  • Pil ve veri kullanım kayıtlarını başka cihaza aktar
  • E-posta ve banka parolalarını güvenilir başka cihazdan değiştir
  • İki aşamalı doğrulamayı açık olduğundan emin ol
  • Casus Yazılım Teşhis bölümündeki gelişmiş kontrol protokolünü uygula
Bunu Yapma
  • Fabrika ayarlarına hemen dön, kanıtları yok et
  • Telefondan şüpheli bir şey fark ettiğinde hemen parola değiştir
  • Casus yazılım temizleyici uygulama güvenerek yükle
  • Şüphelendiğini telefonda yazışarak veya konuşarak ifade et
Casus Yazılım Şüphesi Kontrol Listesi
  • Pil kullanımı kontrol edildi (beklenmeyen hızlı tüketim var mı?)
  • Veri kullanımı kontrol edildi (şüpheli yüksek tüketim var mı?)
  • Şüpheli uygulama listesi kontrol edildi
  • Arka planda çalışan uygulamalar kontrol edildi
  • Son yüklenen uygulamalar kontrol edildi
  • Profil yönetimi kontrol edildi (iPhone: Ayarlar > Genel > VPN ve Cihaz Yönetimi)

Gerçek olay: 2016’da Birleşik Arap Emirlikleri’nde yaşayan insan hakları aktivisti Ahmed Mansoor, telefonunda garip davranışlar fark etti: pil çok hızlı bitiyor, telefon sürekli ısınıyor, veri kullanımı aniden artıyordu. Bu belirtiler tam olarak bu bölümün 11.1 tablosundaki işaretlerdi. Mansoor, Citizen Lab’e başvurdu. Yapılan incelemede, telefonunda daha önce hiç görülmemiş bir casus yazılım bulundu: Pegasus. Mansoor’un telefonuna sadece bir SMS mesajıyla bulaştırılmıştı, mesajı açmasına bile gerek yoktu, sıfır tıklama saldırısıydı (zero-click). Bu olay, Pegasus casus yazılımının dünya çapında tanınmasını sağladı ve 50.000’den fazla aktivistin, gazetecinin ve siyasetçinin telefonunda kullanıldığı ortaya çıktı. Mansoor’un fark ettiği belirtiler sayesinde, binlerce kişi daha telefonlarını kontrol etti.

Gerçek saldırı deseni: Casus yazılım önce hedefin telefonuna bir şekilde yüklenir: sahte bir uygulama, oltalama linki veya sıfır tıklama açığı ile. Yüklendikten sonra ekran görüntüleri, mesajlar, arama kayıtları, konum verisi ve mikrofon kayıtları sürekli toplanır. Toplanan veriler sıkıştırılarak arka planda saldırganın sunucusuna gönderilir, kurban hiçbir şey fark etmez. Pegasus casus yazılımının veri toplama ve sızdırma süreci tam olarak bu şekilde çalışır: kurban telefonu normal kullanırken tüm veriler sessizce dışarı sızar. Şüphelendiğin anda veri kullanımını kontrol et (Casus Yazılım bölümündeki tablodaki “İnternet kotası hızlı eriyor” belirtisi).

Benzetme: Casus yazılım, evine gizlice giren bir misafir gibidir. Sen evde olduğunu sanırsın ama o, sen yokken gelip gitmiştir. Tek farkı: o misafir hâlâ içeride.

İlgili Bölümler

← Virüs ve Kötü Amaçlı Yazılımlar Casus Yazılım Teşhis ve Temizlik →