Telefonumda Casus Yazılım Var mı? Belirtiler, Tespit ve Adli Bilişim

TL;DR: Casus yazılım artık sadece kıskanç eşin marifeti değil, devlet düzeyinde silah haline geldi. Pegasus, Predator ve Hermit gibi araçlar tek tıkla, hatta sıfır tıkla bulaşıp tüm mikrofonu, kamerayı ve mesajları sızdırıyor. Belirtiler arasında ani pil tüketimi, ısınma, beklenmedik MFA SMS'leri ve karşı tarafın bilmemesi gereken şeyleri bilmesi var. iOS Lockdown Mode ile Google Play Protect ilk savunma; kesin tespit için adli bilişim laboratuvarı ve MVT taraması şart. Kurumsal hatlarda işe ISO 27037 uyumlu inceleme bekleniyor.

Casus yazılım nedir?

Casus yazılım (spyware), kullanıcının haberi olmadan cihazdaki mesaj, çağrı, konum, mikrofon ve kamera verisini üçüncü tarafa aktaran zararlı yazılım sınıfıdır. Dört temel kategori var:

1. Ticari "stalkerware": mSpy, FlexiSpy, eyeZy, Cocospy. Genellikle "çocuk takibi" ya da "çalışan denetimi" diye pazarlanır, fakat kullanım pratiğinde çoğunlukla eşler arası dijital şiddet aracı olarak görülüyor.
2. Devlet seviyesi araçlar: NSO Group'un Pegasus'u, Cytrox'un Predator'u, RCS Lab'in Hermit'i. Sıfır gün açıklarıyla, çoğu zaman kullanıcı hiçbir şey yapmadan bulaşır.
3. Açık kaynak RAT'lar: AndroRAT, DroidJack, AhMyth. Düşük maliyetli, GitHub'da bulunabilir, "amatör" tehdit aktörleri tarafından modifiye edilir.
4. Bankacılık trojanları: Cerberus, ERMAC, Hydra, SharkBot. Asıl amacı banka kimlik bilgisi çalmak olsa da overlay ve accessibility yetkisiyle fiilen casus yazılım gibi davranır.

Mobil tehdit manzarasının geri kalanı için Türkiye Siber Tehdit Manzarası 2026 yazımıza göz atabilirsiniz.

En çok bilinen 5 örnek

1. Pegasus (NSO Group): Citizen Lab'in defalarca raporladığı, iMessage, WhatsApp ve FaceTime üzerinden sıfır tıklamayla bulaşan ticari devlet casus yazılımı. Ayrıntılı teknik raporlar için Citizen Lab arşivi referans olarak okunabilir.
2. Predator (Cytrox / Intellexa): Avrupa merkezli Cytrox tarafından geliştirilen, Pegasus'un birebir rakibi. Google TAG çok sayıda zincirleme açık dokümante etti, bkz. Google Threat Analysis Group.
3. Hermit (RCS Lab): İtalyan kökenli RCS Lab tarafından üretilen, sahte operatör yönlendirme sayfalarıyla Android ve iOS'a bulaşan casus yazılım. Lookout ve Google TAG birlikte ifşa etti.
4. mSpy: Ticari stalkerware. Apple ID veya iCloud yedek erişimi ile veri çekmesi tipik. Birçok kez veri sızıntısı yaşadı, mağdurun kendisi yeniden mağdur oldu.
5. FinFisher / FinSpy (Lench IT Solutions, Gamma Group): Avrupalı eski oyuncu. Amnesty International Security Lab birden çok teknik analiz yayımladı: securitylab.amnesty.org.

Belirtiler: telefonumda casus yazılım olabilir mi?

Casus yazılım kendini gizlemek için tasarlanır, dolayısıyla "tek bir kanıt" beklemek yanıltıcı. Belirtileri üç başlıkta düşünmek gerekir.

Fiziksel belirtiler

• Pil daha önce hiç olmadığı kadar hızlı bitiyor, üstelik kullanmadığınız saatlerde de düşüyor.
• Telefon hiç kullanılmadığında bile ısınıyor, özellikle kulağın üst tarafı ve kamera bölgesi.
• Veri kullanımı ay sonunda ciddi şekilde artmış, ama kullanım alışkanlığınız değişmemiş.
• Şarjda hızlı doluyor, ama "ekran açık" süresi aynıyken pil ömrü yarı yarıya düşmüş durumda.
• Mikrofon ve kamera gösterge ışıkları (iOS'taki turuncu/yeşil nokta, Android 12 sonrası benzeri) zaman zaman siz kullanmadan görünüyor.

Yazılım belirtileri

• iOS'ta Settings → General → VPN & Device Management altında tanımadığınız MDM profili duruyor.
• Beklemediğiniz MFA SMS'leri geliyor; biri sizin hesabınıza giriş denemesi yapıyor.
• Apple ID veya Google hesabınıza "yeni cihazdan giriş" bildirimi düştü, ama o cihaz sizin değil.
• Bilinmeyen uygulamalar, özellikle isimleri "System Service", "Sync Manager", "Wi-Fi Helper" gibi jenerik şeyler.
• Tarayıcı geçmişinde girilmemiş URL'ler, e-posta klasöründe silinmiş ama "Çöp Kutusu"nda bulunmayan mesajlar.

Davranışsal belirtiler

• Karşı taraf, sadece telefonda konuştuğunuz konuyu yüzünüze söylüyor.
• WhatsApp ya da Telegram'da gönderdiğiniz bir mesajın "okundu" işareti hiç gelmiyor, çünkü biri başka cihazda mesajı okuyup tekrar "okunmadı"ya alıyor olabilir.
• Telefonun ekranı, sizin son bıraktığınız konumdan farklı yerde açık kalıyor.
• Yakın çevrenizden biri, sizin sosyal medyada paylaşmadığınız bir gelişmeyi biliyor.

Kendi başına yapılabilecek ilk kontroller

Bunlar profesyonel inceleme yerine geçmez, ama ciddi bir tehdit yoksa çoğu vakayı temizler.

iOS

1. Settings → General → VPN & Device Management: Buradaki her profili tanımıyorsanız silin. Kurumsal MDM dışında bir profile asla "Trust" demeyin.
2. Settings → Privacy & Security → Microphone / Camera / Location Services: Listeleyin, son 24 saat içinde aktif olan uygulamayı sorgulayın.
3. Settings → Safari → Clear History and Website Data: İz takip eden çerezler dahil temizlenir.
4. Lockdown Mode'u açın: iOS 16+ ile gelen sertleştirme modu, mesaj ek tipi, web teknolojisi ve davetiye yüzeylerini agresif şekilde kısar. Resmi rehber: Apple Lockdown Mode.
5. iOS sürümünüzü ve cihaz modelinizi güncelleyin. Pegasus benzeri tehditler için her zaman en son yamaya sahip olmak en kritik tek savunma.

Android

1. Settings → Apps → Special app access → Device admin apps: Tanımadığınız "device admin" varsa, casus yazılımın ana hayatta kalma yöntemidir. Devre dışı bırakıp uygulamayı kaldırın.
2. Settings → Apps → Special app access → Accessibility: Erişilebilirlik servisi yetkisi alan her şey, ekrandakini okuyabilir. Bankacılık trojanlarının ana vektörüdür.
3. Google Play Protect aktif mi? Settings → Security → Google Play Protect → "Scan apps with Play Protect" açık olmalı.
4. Bilinmeyen kaynaklar: Settings → Apps → Special app access → Install unknown apps. Sadece güvendiğiniz uygulama mağazalarına bu yetki verilmiş olmalı.
5. Son 30 günde yüklenen uygulamaları gözden geçirin, ismi anlamsız ya da yayıncısı doğrulanmamış olanları silin.

Kesin tespit: adli bilişim incelemesi

İlk kontroller "şüphe" düzeyini düşürür, ama hukuki bir uyuşmazlık ya da yüksek profilli hedef söz konusuysa kesin teşhis ancak adli bilişim laboratuvarında yapılır. Süreç üç tip extraction üzerinde döner:

• Logical extraction: Cihazın gösterdiği veriler (mesaj, kayıt, kişi). Cellebrite UFED ya da Magnet AXIOM kullanılır. Cellebrite ürün ailesi için kaynak: cellebrite.com.
• File system extraction: Uygulama veri tabanları, gizli config dosyaları, plist'ler.
• Physical extraction: Mümkün olan cihazlarda ham bellek imajı. Pegasus gibi gelişmiş örnekler ancak bu seviyede bırakacakları izleri belli eder.

Bu çıktıların üzerinden Oxygen Forensic Detective ya da Magnet AXIOM ile artefakt taraması, ardından MVT (Mobile Verification Toolkit) ile IOC eşlemesi yapılır. MVT, Amnesty International Security Lab tarafından açık kaynak olarak yayımlanır. iVerify ve TrendMicro Mobile Security gibi ticari ön-tarama uygulamaları, laboratuvara gitmeden bir başlangıç fikri verir, ama adli geçerliliği yoktur.

Tüm süreç, sahada NIST Cybersecurity Framework'ün DETECT fazına denk gelir; toplama ve saklama ise Adli Bilişim Süreci 2026 yazısında ayrıntılı işlediğimiz ISO 27037 delil zinciriyle yürütülür.

Citizen Lab'ın açık kaynak araçları

Citizen Lab ve Amnesty Security Lab, devlet düzeyi casus yazılım analizinde kamuya en açık iki otorite. Sundukları temel araçlar:

• MVT (Mobile Verification Toolkit): iOS encrypted backup ve Android adb tabanlı dump üzerinde IOC taraması yapar. Pegasus, Predator ve Hermit imzalarıyla beslenen STIX 2.1 indicator listeleriyle çalışır.
• PegasusChecker tipi script'ler: Belirli alan adı, süreç ve dosya izlerine bakar.
• iOS sysdiagnose loglama: Apple'ın sağladığı diagnostic paketi, Citizen Lab analistleri tarafından anormal süreç ve crash izleri için taranır.
• Yayınlanmış IOC listeleri: Citizen Lab raporları her bulguda yeni alan adı, sertifika hash'i ve süreç adı ekler. Bu listeler MVT'ye düşürülerek analizi günceller.

Bu araçların hepsi gönüllü ve teknik kullanıcılar için tasarlandı; günlük kullanıcının bunları çalıştırması beklenmez, çıktısını yorumlayacak adli bilişim uzmanı şart.

Devlet seviyesi (zero-click) tehditler

Sıfır tıklama exploit'leri casus yazılım dünyasının zirvesi. Kullanıcı bir bağlantıya tıklamaz, bir dosyayı açmaz; sadece bir iMessage, WhatsApp ya da SMS gelmesi yeter. Pegasus'un FORCEDENTRY zinciri (CVE-2021-30860) bunun klasik örneği, Citizen Lab tarafından deşifre edildi ve Apple BlastDoor mimarisinin ardından Lockdown Mode'la yüzey daraltıldı.

Predator zincirleri için Google TAG'ın yıllık "0-day in the wild" raporu en önemli kamuya açık kaynak. Bu raporlar gösteriyor ki sıfır tıklama exploit'i, Türkiye dahil pek çok ülkede gazeteci, avukat ve aktivist hedeflerine uygulandı. Devlet seviyesi tehdit söz konusu olduğunda "ben kimseyim, beni neden hedeflesinler" düşüncesi bir savunma değil; çoğu vakada hedef ana figür değil, ona ulaşan yakın çevredeki kişi oluyor.

Casus yazılım tespit edildi, ne yapmalı?

Doğrulanmış bir bulgu varsa, ilk refleks "fabrika ayarına döndüreyim" olur. Bu yanlış. Çünkü o anda elinizdeki tek delil aynı zamanda uçup gider. Doğru sıra:

1. Telefonu uçak modu yapın, kapatmayın. Kapatma bazı uçucu kanıtları siler.
2. Cihazı fiziksel olarak güvenli yere alın, parolayı kimseyle paylaşmayın.
3. iCloud ya da Google senkronizasyonunu, yedek hesap üzerinden web tarayıcısından kapatın; cihazdan değil.
4. Şüpheli giriş yapan oturumları "tüm cihazlardan çıkış" ile sonlandırın.
5. Adli bilişim uzmanı çağırın. Toplama prosedürü ISO 27037'ye uygun yapılmalı, aksi halde mahkemede delil değeri tartışmaya açılır.
6. Türk Ceza Kanunu md. 132 (haberleşmenin gizliliğini ihlal), md. 133 (kişiler arasındaki konuşmaların dinlenmesi), md. 134 (özel hayatın gizliliğini ihlal), md. 135 (kişisel verilerin kaydedilmesi) açısından savcılığa şikayet hazırlığı yapın.

Kurumsal hatlarda durum

Kurumsal cihaz politikası iki uçta dolaşıyor: tamamen kurumsal MDM kontrolünde "managed device" ya da BYOD (Bring Your Own Device). Casus yazılım tespiti her iki modelde de farklı işliyor.

• MDM yönetilen cihazlarda: Kurumun kendi profilleri zaten "Device Admin" benzeri yetkilerle kurulu. Yeni bir profil çıkması daha hızlı görülür, ancak kurumsal profillerin de telefonu izleyebildiği gerçeği çalışanla şeffafça paylaşılmalı. Aksi halde KVKK md. 4 dürüstlük ilkesi devreye girer.
• BYOD cihazlarda: Kişisel hat üzerinden iş yazışması yapılıyorsa, hem işveren denetim sınırı belirsiz hem de tehdit yüzeyi geniştir. CISO'nun BYOD politikası, mobile threat defense ürünü (Lookout, Zimperium, Microsoft Defender for Endpoint Mobile) ve düzenli farkındalık eğitimini içermek zorunda.

Kurumsal vakalarda olay tespit edildiğinde teknik triyajla beraber insan kaynakları, hukuk ve KVKK irtibat kişisi aynı odada konuşmalı. Tek başına IT'nin alacağı bir karar olmaktan çıkmıştır.

KVKK ve hukuki çerçeve

Türkiye'de casus yazılım, hem ceza hukuku hem veri koruma hukuku açısından çift suç doğurur:

• TCK md. 132 - 135: Haberleşmenin gizliliği, özel hayatın gizliliği ve kişisel verilerin kaydedilmesi suçları. Casus yazılım yükleyen kişi doğrudan fail.
• KVKK md. 6: Sağlık, cinsel hayat, biyometrik, dini inanç gibi özel nitelikli verilerin işlenmesi açık rıza ya da kanunda öngörülen istisna gerektirir. Casus yazılım bu kategoriye giren veriyi gizlice topladığı için ihlal kesindir.
• KVKK md. 12: Veri güvenliği yükümlülüğü. Çalışan cihazından sızıntı yaşandığında, veri sorumlusunun "uygun güvenlik düzeyini sağlama" yükümlülüğü tartışılır.
• KVKK md. 28: İstisnalar dar yorumlanır; "kişisel/aile faaliyeti" istisnası, casus yazılımla başkasını izlemeyi kapsamaz.

KVKK Kurulu'nun yayımladığı kararları takip etmek için resmi adres: kvkk.gov.tr. Casus yazılım vakalarında veri ihlal bildirimi, olayın öğrenilmesinden itibaren 72 saat içinde Kurul'a sunulmalı.

Önleme

1. iOS Lockdown Mode'u yüksek riskli profillerde sürekli açık tutun (gazeteci, avukat, üst yönetim, aktivist).
2. Google Play Protect her zaman açık olsun ve Google Play dışındaki kaynaklardan kurulum istisnasını kapatın.
3. MDM profili kurulumuna ancak BT departmanı yüz yüze talimat verdiyse onay verin.
4. MFA'yı SMS yerine donanım anahtarı ya da TOTP uygulamasıyla yapın.
5. Belirsiz linklere tıklamayın; özellikle "kargonuz teslim edilemedi" ve "e-Devlet'ten bilgi" tipi mesajlar.
6. iCloud/Google "active devices" listesini ayda bir gözden geçirin.
7. Eski telefon trade-in öncesinde sadece fabrika ayarı değil, KVKK uyumlu kalıcı silme prosedürü uygulanmalı.
8. WhatsApp gibi mesajlaşmada "linked devices" kısmını düzenli kontrol edin; orada tanımadığınız bir oturum varsa, hesabınız başka birinin elinde demektir.

SSS

Pegasus bulaştığını nasıl kesin anlarım?

Tek başına kullanıcı belirtileriyle anlaşılmaz. iTunes/Finder encrypted backup üzerinde MVT taraması, ardından adli bilişim laboratuvarında log analizi gerekir. Citizen Lab'in IOC listesiyle eşleşme alındığında doğrulanır.

Fabrika ayarı casus yazılımı temizler mi?

Çoğu ticari stalkerware için evet. Ancak Pegasus gibi bazı gelişmiş örnekler firmware ve boot zincirine kanca atabildiği için her zaman temizlenmez. Üstelik fabrika ayarı, hukuki süreç için kullanılacak tüm delili siler.

Adli bilişim raporu mahkeme için yeterli mi?

ISO 27037 uyumlu toplama ve hash bazlı delil zinciri sağlandıysa evet. Aksi takdirde karşı taraf raporu "kaynak doğrulanamadı" diye reddettirebilir.

Belirtisiz casus yazılım var mı?

Var. Özellikle devlet düzeyi araçlar, kullanıcıyı uyarmamak için pil ve veri kullanımını minimize edecek şekilde planlanır. "Hiçbir belirti yok" tek başına güvenli olduğunuz anlamına gelmez.

Telefonum çalındı sonra geri geldi, casus yazılım var mı diye taranmalı mı?

Mutlaka. Fiziksel erişim, sertifika imzalı profil ya da kalıcı erişim aracı kurmak için yeterli. Geri dönen cihaz öncelikle adli bilişim incelemesinden geçmeli, ondan sonra kullanılmalı.

Eş takip uygulamaları yasal mı?

Hayır. Türk hukukunda, başka bir kişinin telefonuna onayı olmadan izleme yazılımı kurmak TCK md. 132 ve KVKK md. 6 kapsamında suç ve idari yaptırım doğurur. "Çocuk takibi" istisnası ergin olmayanlar için ebeveynin velayet hakkı çerçevesinde sınırlı.

MVT aracını ben kendim çalıştırabilir miyim?

Teknik olarak evet, ancak çıktıyı yorumlamak için adli bilişim ve mobil tehdit istihbaratı tecrübesi şart. Yanlış yorumlanan bir bulgu, gerçek olayın gözden kaçırılmasına neden olur.

DSET ile çalışmak

DSET; KVKK uyumluluk, adli bilişim laboratuvarı ve mobil casus yazılım tespiti kombinasyonunu tek elden sağlar. Bireysel mağdurdan kurumsal CISO'ya kadar, ISO 27037 delil zinciri kuralları içinde inceleme yapar, raporu mahkemede kullanılabilir formatta teslim eder. Pegasus, Predator ve commodity stalkerware tarafında MVT entegrasyonlu kendi pipeline'ımız mevcut.

Pillar yazımız Adli Bilişim Süreci 2026 sürecin hukuki ve teknik tüm aşamalarını ele alıyor. Türkiye özelinde tehdit profili için Türkiye Siber Tehdit Manzarası 2026 yazımız tamamlayıcı kaynak.

İletişim: Hacettepe Teknokent, Ankara. Telefon: +90 536 662 38 09.

---

Kaynaklar: Citizen Lab, Amnesty International Security Lab, Cellebrite, Apple Lockdown Mode, Google Threat Analysis Group, KVKK.