Casus Yazılım Teşhis ve Temizlik

Kamu Görevlisi

Telefonunda öyle bir casus yazılım olabilir ki onu asla fark etmezsin. Belirti göstermez, pil tüketmez, sıcaklık yapmaz. Sessizce oturur, yazdıklarını okur, konuştuklarını dinler, nereye gittiğini izler. Bu yazılımlar sıradan antivirüslerin göremediği açıkları kullanır. Milyonlarca dolarlık bu araçlar, sadece devletlerin ve istihbarat servislerinin kullanımına sunulur. Seni hedef aldılarsa, tespit edemeyebilirsin. Ama korunabilirsin.

Hızlı ipucu: Devlet düzeyinde casus yazılımları tespit edemezsin. Ama korunabilirsin: telefonunu arada sırada (şüphelenmesen bile) kapatıp açmak birçok sıfır tıklama açığını etkisiz hale getirir. Şüpheleniyorsan da mutlaka kapatıp aç. Bunu alışkanlık haline getir.

26.1 Nedir?

Devlet düzeyinde ticari casus yazılımlar, özel şirketler tarafından geliştirilen ve yalnızca devletlere, istihbarat servislerine ve kolluk kuvvetlerine satılan gözetim araçlarıdır. Sıradan antivirüs programları bunları tespit edemez. Çünkü bu yazılımlar, henüz keşfedilmemiş veya henüz kapatılmamış sistem açıklarını (sıfırıncı gün / 0-day exploit) kullanır. Milyonlarca dolarlık yazılımlardır ve belirli hedeflere yönelik kullanılır.

26.2 Bilinen Örnekler

Bilinen devlet düzeyinde ticari casus yazılımlar
Yazılım	Üretici	Sızma Yöntemi	Öne Çıkan Özellik
Pegasus	NSO Group (İsrail)	Sıfır tıklama (zero-click). WhatsApp aramasıyla, kurban açmasa bile sızar. Ardından arama kaydını siler.	Tüm fotoğraflar, parolalı mesajlar (Signal, WhatsApp dahil), anlık konum ve ortam dinlemesi doğrudan saldırgan paneline düşer.
Predator	Cytrox / Intellexa (Kuzey Makedonya / Yunanistan)	Tek tıklama (one-click). Çok inandırıcı kargo takip linki, haber linki veya kurumsal e-posta ile sızar. Linke tıklandığı an arka planda yüklenir.	Telefon kapatılıp açılsa bile cihazda kalıcı olabilir. Yunanistan’da siyasetçi ve gazeteci dinleme skandalıyla ortaya çıktı.
FinFisher (FinSpy)	FinFisher (Almanya)	Sahte uygulama dosyaları (.apk), sahte web siteleri (oltalama). 2017 Türkiye’de Adalet Yürüyüşü sırasında “yürüyüş takvibi.apk” ve sahte CHP giriş sayfalarıyla muhalif isimlerin telefonlarına sızdırıldı.	Mikrofonu açar, kamerayı izler, WhatsApp yazışmalarını ekrandan okur. Şirket yasa dışı ihracat soruşturmaları sonucu kapatıldı.
Galileo (RCSI)	Hacking Team (İtalya)	Oltalama linkleri ve sahte güncelleme bildirimleri.	2015 yılında şirketin kendisi hacklendi; tüm müşteri listeleri ve kaynak kodları internete sızdırıldı.
Subzero / Knotweed	DSIRF (Avusturya)	Windows sıfırıncı gün açıklarını kullanarak kurumlara sızar.	Sadece telefonları değil, Windows işletim sistemli bilgisayarları da hedef alır. Kurumsal belge hırsızlığı yapar.

Gerçek olay: NSO Group’un Pegasus casus yazılımı 2016’dan beri dünya genelinde gazeteci, aktivist ve siyasetçileri hedef aldı. 2021’de 50.000’den fazla telefon numarasının sızdırılmasıyla skandal ortaya çıktı. Pegasus, kurban hiçbir yere tıklamadan (sıfır tıklama) telefona bulaşabiliyor. 2018’de Amazon kurucusu Jeff Bezos’un telefonuna, Suudi Arabistan veliaht prensi Mohammed bin Salman’ın WhatsApp üzerinden gönderdiği bir video dosyası aracılığıyla Pegasus yüklendiği iddia edildi. Bu olay, devlet düzeyinde casus yazılımların sadece doğrudan hedefleri değil, onlarla iletişim kuran herkesi de tehlikeye atabileceğini gösterdi.

26.3 Türkiye’den Bilinen Vakalar

2017 - FinFisher / Adalet Yürüyüşü: Muhalif isimlere sahte Twitter hesapları üzerinden “yürüyüş takvibi” uygulaması (.apk dosyası) gönderildi. Ayrıca sahte CHP giriş sayfalarıyla (oltalama) parolalar çalındı. Telefonlara FinFisher yüklendi; mikrofon, kamera ve mesajlar ele geçirildi.
Bu vakadan çıkan ders: Siyasi gerginlik ve toplumsal olaylar döneminde, “destekleyin”, “katılım sağlayın”, “takip edin” gibi söylemlerle gelen linklere ve dosyalara karşı özellikle dikkatli olunmalıdır.

Senaryo: Adalet Yürüyüşü Vakası

2017 yılında muhalif isimlere sahte Twitter hesapları üzerinden “yürüyüş takibi” uygulaması gönderildi. Kurbana göre bu destek amaçlı bir uygulamaydı; gerçekte ise FinFisher casus yazılımını yüklüyordu. Aynı dönemde sahte CHP üye giriş sayfalarıyla parolalar da çalındı. Toplumsal olaylar döneminde duygusal söylemlerle gelen tüm link ve dosyalara şüpheyle yaklaş.

26.4 Korunma Yöntemleri

Arada sırada telefonu kapatıp aç (şüphelenmesen bile): Bu tür yazılımlar telefon hafızasında (RAM) canlı kalır. Kapatıp açmak aktif saldırıyı kırar. Saldırgan tekrar sızmak zorunda kalır. Zaman zaman kapat-aç yapılırsa, saldırgan tekrar tekrar sızmak zorunda kalır ve bu da yakalanma ihtimalini artırır. Bazı vakalarda saldırganlar pes edip bırakmıştır. Şüpheleniyorsan vakit kaybetmeden kapatıp aç.
iPhone Kilit Modu (Lockdown Mode): Yüksek risk altındaki siyasiler için Ayarlar > Gizlilik ve Güvenlik > Kilit Modu açılır. Bu mod:
- Mesajlardaki ek ve bağlantıları engeller
- Bilinmeyen aramaları engeller
- Bilinen sızma yollarını tıkar

Kilit Modu (Lockdown Mode) yüksek riskli siyasiler için zorunludur. Ayarlar > Gizlilik ve Güvenlik > Kilit Modu’nu aç. Bu mod mesajlardaki ekleri, bilinmeyen aramaları ve bilinen sızma yollarını engeller. Kilit Modu aktifken bile arada sırada (şüphelenmesen bile) telefonu kapatıp açmayı ihmal etme.

iPhone’da iMessage ve FaceTime’ı kapat: iMessage, iOS’ta varsayılan olarak açık gelir ve Pegasus gibi yazılımların birincil sızma vektörüdür. Kaspersky GReAT Global Direktörü Costin Raiu’ya göre, iMessage’ı kapatmak Pegasus’a karşı en etkili önlemlerden biridir. Yüksek risk altındaki siyasiler bunu bir ödünleşim olarak kabul etmeli ve kapatmalıdır.
Alternatif tarayıcı kullan (Firefox Focus): iOS’taki tüm tarayıcılar aynı WebKit motorunu kullansa da, bazı exploitler Firefox Focus gibi alternatif tarayıcılarda düzgün çalışmaz. Varsayılan tarayıcı yerine Firefox Focus tercih edilmeli.
Android: Google Play Koruması (Play Protect): Ayarlar > Google > Güvenlik > Play Protect açık olmalı. Düzenli tarama yaptır.
Sıfırıncı gün açıklarına karşı en güçlü önlem: İşletim sistemini güncel tutmak (Cihaz Güvenliği bölümü) ve iPhone’da Kilit Modu açmaktır. Bu yazılımların kullandığı açıkların çoğu, Apple ve Google’ın yayınladığı güncellemelerle kapatılır. Pek çok iOS exploit kiti zaten yamalanmış açıkları hedefler; güncellemeyi ertelersen hacklenmen kaçınılmaz olur.
Kaynağı belirsiz hiçbir dosyayı indirme: Özellikle .apk (Android uygulama dosyası) ve bilinmeyen kaynaklardan gelen kurulum dosyaları. Bu dosyalar FinFisher gibi yazılımların en yaygın bulaşma yoludur.
Android’de “Bilinmeyen Kaynaklar” kapalı olmalı: Ayarlar > Güvenlik > Bilinmeyen kaynaklardan uygulama yüklemeyi kapat. Sadece Google Play Store veya App Store’dan uygulama indirilmeli.
Oltalama sayfalarına karşı dikkat: “CHP üye girişi”, “Parti içi anket”, “Yürüyüş takvibi” gibi sahte web siteleri en çok siyasi dönemlerde kullanılır. Parolani sadece resmi uygulama veya adreste gir. Adres çubuğunu her zaman kontrol et.
Sahte internet adresi (domain) taktiklerini tanı: Gelişmiş tehdit grupları (APT), gerçek kurumların internet adreslerine çok benzeyen sahte adresler kaydeder. Örnekler:
- gov.hu (Macar Hükümeti) yerine qov.hu.com
- gov.pl (Polonya Hükümeti) yerine q0v.pl
- standartnews.com (Bulgar haber sitesi) yerine standartnevvs.com (iki tane v harfi)
- kavkazcenter.com (haber ajansı) yerine kavkazcentr.info
- osce.org (AGİT) yerine login-osce.org
- Bu taktik, adres çubuğuna hızlıca göz atan kurbanı kandırmak için tasarlanmıştır. Giriş yapmadan önce adresi harf harf kontrol et.
Sanal özel ağ (VPN) seçimine dikkat: Bazı exploitler, GSM operatörü aradaki adam saldırısı (MitM), DNS ele geçirme (hijack) veya HTTP sitelerde gezinirken bulaştırılır. VPN bunlardan korur ama her VPN güvenli değildir:
- Ücretsiz VPN kullanılmamalı
- Kripto varlıklarla ödeme kabul eden, kayıt bilgisi gerektirmeyen VPN’ler tercih edilmeli
- VPN uygulaması yerine WireGuard veya OpenVPN gibi açık kaynaklı araçlarla VPN profili kullanılmalı
- Yeni değil, geçmişi olan köklü VPN sağlayıcıları seçilmeli
Ayda bir yedek al ve tarat: iPhone’da iTunes/Finder yedeklemesi ayda bir alınmalı. Bu yedek, Mobil Doğrulama Aracı (MVT) ile Pegasus ve benzeri yazılımların izini taramak için kullanılır.
Sistem tanılama çalıştır ve harici diske yedekle: iPhone’da Ses Yukarı + Ses Aşağı + Güç tuşuna aynı anda basılarak sistem tanılama (sysdiagnose) oluşturulur. Bu dosya, ileride forensik analiz gerektiğinde kanıt niteliği taşır. Harici bir diske kopyalanmalı.
Jailbreak kontrolü yapan uygulama kullan: Saldırgan, tekrar tekrar kapat-aç nedeniyle usanmışsa sonunda kalıcılık (persistence) oluşturmak için cihazı jailbreak yapacaktır. Bu, saldırganın yakalanma olasılığının en yüksek olduğu andır. Jailbreak tespiti yapan bir uygulama kur.
İşletim sistemi değiştirmeyi düşün: iOS kullanıyorsan bir süre Android’e, Android kullanıyorsan iOS’a geçmeyi düşün. Bazı tehdit aktörleri yalnızca belirli bir işletim sistemi için geliştirilmiş exploit sistemi sat alır. İşletim sistemi değiştirmek saldırganın planını bozar.
İkincil güvenli cihaz edin: Yüksek risk altındaki siyasiler, GrapheneOS (güvenlikle sertleştirilmiş Android) çalıştıran ikincil bir cihaz edinmeli. İçine ön ödemeli SIM kart takılmalı veya yalnızca uçak modundayken kablosuz ağ (Wi-Fi) ve Tor ile bağlanılmalı. Telefon numarasına bağlı olmayan Session gibi mesajlaşma uygulamaları tercih edilmeli. Çünkü saldırgan telefon numaranı ele geçirirse WhatsApp, Signal, Telegram gibi tüm uygulamalardan seni hedefleyebilir.

Bunu Yap

Arada sırada telefonu kapatıp aç (şüphelenmesen bile)
iPhone Kilit Modu (Lockdown Mode) aç
İşletim sistemini güncel tut
Firefox Focus gibi alternatif tarayıcı kullan
Google Play Koruması açık tut (Android)
Kaynağı belirsiz dosya indirmemek
Ayda bir yedek al ve MVT ile tarat
Sıfırıncı gün açıklarına karşı güncellemeyi erteleme

Bunu Yapma

Bilinmeyen kaynaklardan uygulama yükleme
iMessage ve FaceTime açık bırak (yüksek riskli)
Ücretsiz VPN kullan
Oltalama linklerine tıkla
Adres çubuğunu kontrol etmeden giriş yap

26.5 Sızıldığından Şüpheleniyorsan

Cihazı derhal kapat.
Yedek alma girişiminde bulunma (casus yazılım yedeğe de sızabilir, yedekleme işlemi sırasında veriler saldırgana da aktarılabilir).
Güvenilir bir uzmana veya siber güvenlik kuruluna başvur.

Sızıldığından Şüpheleniyorsan

Cihazı derhal kapat
Yedek alma girişiminde bulunma
Güvenilir bir siber güvenlik uzmanına başvur
SIM kartı değiştirmeyi düşün
Tüm hesap parolalarını değiştir
MVT taraması yaptır

26.6 Cihaza Casus Yazılım Bulaştığı Kesinleştiyse Ne Yapılır?

Eğer bir siyasetçinin telefonuna Pegasus, Predator veya benzeri üst düzey bir casus yazılım bulaştığı kesinleştiyse, o telefon artık radyoaktif atıktır. Sıradan temizlik yöntemleri yetmez:

Telefonu fiziksel olarak kullanımdan kaldır: Fabrika ayarlarına döndürmek bile kesin çözüm olmayabilir. Predator gibi yazılımlar telefon kapatılıp açılsa bile cihazda kalıcı olabilir. Telefon imha edilmeli veya güvenilir bir forensik laboratuvara teslim edilmeli.
SIM kartı değiştir: Eski SIM kartı kullanımdan kaldır, operatörden yeni SIM kart çıkar.
Yeni telefona eski yedekten hiçbir veri aktarma: Özellikle eski uygulamalar, ayarlar ve sistem dosyaları yeni telefona kesinlikle taşınmamalı. Her şeye sıfırdan başlanmalı.
Tüm hesap parolalarını değiştir: Eski parolalar artık güvensiz. Yeni, güçlü ve benzersiz parolalar belirle.
Mobil Doğrulama Aracı (MVT) taraması: Uluslararası Af Örgütü’nün geliştirdiği açık kaynaklı Mobil Doğrulama Aracı (MVT - Mobile Verification Toolkit) ile telefonun yedeklemesi alınarak Pegasus, Predator ve benzeri yazılımların izi taranabilir. Bu işlemi güvenilir bir siber güvenlik uzmanına yaptır.

Spyware karşılaştırma tablosu

Yazılım	Üretici	Sızma Yöntemi	Kalıcılık	Kapsam
Pegasus	NSO Group (İsrail)	Sıfır tıklama (zero-click)	RAM tabanlı, kapat-aç ile kırılır	Fotoğraflar, mesajlar, konum, ortam dinleme
Predator	Cytrox / Intellexa	Tek tıklama (one-click)	Cihazda kalıcı olabilir	Mikrofon, kamera, mesajlar
FinFisher	FinFisher (Almanya)	Sahte APK, oltalama	Kalıcı	Mikrofon, kamera, WhatsApp okuma
Galileo	Hacking Team (İtalya)	Oltalama, sahte güncelleme	Orta düzey	Kapsamlı gözetim
Subzero	DSIRF (Avusturya)	Windows sıfırıncı gün açıkları	Kurumsal	Windows bilgisayarlar, belge hırsızlığı

Saldırı zinciri: Paralı casus yazılım saldırıları genellikle üç aşamalıdır:

İlk aşama: Hedefe sıfır tıklama (zero-click) veya tek tıklama yöntemiyle casus yazılım bulaştırılır (WhatsApp sesli arama veya SMS ile gönderilen özel hazırlanmış mesaj).
İkinci aşama: Casus yazılım hedef cihazın tüm sensörlerine erişir: mikrofon, kamera, GPS, mesajlar, arama kayıtları, WhatsApp ve Signal verisi.
Üçüncü aşama: Toplanan veriler şifrelenerek saldırganın sunucusuna gönderilir.

Bu saldırı türünü tespit etmek neredeyse imkansızdır çünkü cihazda hiçbir iz bırakmaz. Korunma yolu:

Düzenli güvenlik güncellemeleri
Gereksiz uygulamaları kaldırma
Riskli kişilerden gelen bağlantıları açmamak

Benzetme: Devlet düzeyinde casus yazılımlar, evine anahtarını kopyalayıp giren bir hırsız gibidir. Kapını kırmaz, iz bırakmaz, sen yokken gelir gider. Ama kapına iyi bir kilit takarsan, anahtarı kopyalaması zorlaşır.