Casus Yazılım Tespiti (Bilişim ve Siber)
Casus yazılım (spyware); kullanıcının bilgisi ve rızası olmadan cihaza yüklenerek konum bilgisi, mesaj içeriği, arama kayıtları, şifre, fotoğraf ve mikrofon/kamera verilerini gizlice toplayıp uzak bir sunucuya ileten kötü amaçlı yazılımdır. Türk hukukunda casus yazılım yüklemek TCK m.243 (yetkisiz sistem erişimi) ve TCK m.244/2 (sisteme veri yerleştirme) kapsamında suç teşkil eder; elde edilen veriye göre m.132, m.134 ve m.136 maddeleri de devreye girer. Kriminalistik tespiti için standart antivirüs araçlarının ötesinde MVT, Cellebrite veya Magnet AXIOM gibi adli bilişim araçları kullanılması gerekir.
Casus yazılım türleri, Android ve iOS’a özgü teknik belirtiler, Pegasus gibi devlet düzeyindeki tehditler, kriminalistik inceleme protokolü ve TCK kapsamındaki ceza yaptırımları hiçbirinde yer almaz. Bu sayfa, kriminalistik bilirkişi perspektifinden tüm bu boyutları bir arada sunan Türkiye’nin ilk kapsamlı kaynağıdır.
Casus yazılımlar yalnızca siber suçluların kullandığı araçlar değildir. Kıskançlık güdümlü partner takibinden kurumsal casusluk operasyonlarına, devlet destekli Pegasus sınıfı gözetlemeye kadar geniş bir yelpazede karşımıza çıkar. Cihazda casus yazılım tespitinin kriminalistik açıdan doğru yönetilmesi; hem cezai şikâyet sürecinde delil kalitesini belirler hem de mağdurun tazminat davasındaki hukuki pozisyonunu doğrudan etkiler.
Casus Yazılım Türleri: Tehdit Sınıflandırması
Rakiplerin hiçbirinde bulunmayan bu tablo, casus yazılım türlerini kriminalistik ve hukuki boyutlarıyla sınıflandırmaktadır.
| Tür | Teknik Tanım | Hedeflenen Veri | Yaygın Kullanım Senaryosu | TCK Karşılığı |
|---|---|---|---|---|
| Stalkerware | Kurban cihazına fiziksel erişimle yüklenen ticari gözetleme uygulaması (mSpy, FlexiSPY, Hoverwatch) | Konum, mesaj, arama kaydı, sosyal medya, mikrofon | Kıskançlık güdümlü partner/eş takibi, aile içi şiddet aracı | TCK m.244/2, m.132, m.134, m.136 |
| Spyware (Genel) | Güvenlik açığı veya sosyal mühendislikle yüklenen gizli izleme yazılımı | Şifre, tarama geçmişi, e-posta, finansal bilgi | Siber suç, kimlik hırsızlığı, kurumsal casusluk | TCK m.243, m.244/2, m.136 |
| Keylogger | Klavye tuş vuruşlarını kaydeden yazılım; donanımsal (USB) veya yazılımsal | Şifre, kullanıcı adı, yazışma içeriği, banka PIN | Finansal dolandırıcılık, kurumsal veri çalma | TCK m.244/2, m.245 (banka dolandırıcılığı) |
| RAT (Uzaktan Erişim Truva Atı) | Saldırgana cihaz üzerinde tam uzaktan kontrol ve komuta kanalı (C2) sağlar | Ekran görüntüsü, kamera/mikrofon, dosya sistemi, tuş kaydı | Siber casusluk, fidye hazırlığı, kurumsal sızma | TCK m.243, m.244, m.245A |
| Pegasus / Devlet Sınıfı | Sıfır tıklama (zero-click) açıklarını kullanan NSO Group geliştirmesi; kullanıcı etkileşimi gerektirmez | Tüm cihaz verisi; şifreli mesajlar dahil (WhatsApp, Signal) | Gazeteci, aktivist, siyasetçi hedefli devlet gözetleme | İç hukukta TCK m.243-244; uluslararası AİHM m.8 |
| Adware / Scareware | Reklam göstermek veya sahte güvenlik uyarısıyla kullanıcıyı kandırmak için tasarlanmış yazılım | Tarama alışkanlığı, reklam profili; scareware’de ödeme bilgisi | Gelir amaçlı reklam ağı; sahte antivirüs tuzağı | TCK m.157-158 (dolandırıcılık); m.244 |
Telefonda Casus Yazılım Olduğu Nasıl Anlaşılır?
Kullanıcıların en sık sorduğu bu sorunun yanıtı, standart antivirüs yeterli değildir çerçevesinde verilmelidir. Aşağıdaki belirtiler şüphe için başlangıç noktasıdır; kesin tespit ancak kriminalistik analiz ile mümkündür.
Android Cihazlarda Teknik Belirtiler
| Belirti | Teknik Açıklama | Güvenilirlik |
|---|---|---|
| Pil ömründe ani ve kalıcı düşüş | Arka planda çalışan casus yazılım CPU ve radyo modülünü sürekli kullanır; şarj tüketimi normalin 2-3 katına çıkabilir | Yüksek — özellikle uçak modunda da devam ediyorsa |
| Bekleme modunda cihaz ısınması | Ekran kapalıyken ısınma, veri toplayıp C2 sunucusuna ileten arka plan sürecine işaret eder | Yüksek |
| Açıklanamayan mobil veri tüketimi | Ayarlar → Ağ → Veri kullanımı’nda bilinmeyen uygulamaların yoğun veri harcaması; gece saatlerinde yoğunlaşma dikkat çekicidir | Yüksek |
| Cihaz yöneticisinde tanımadık uygulama | Ayarlar → Güvenlik → Cihaz Yöneticisi listesinde onaylamadığınız uygulama; silmeye çalışılırsa direniyor olması kritik bulgudur | Çok Yüksek |
| Bilinmeyen APK kurulumu | Ayarlar → Uygulama listesinde görünmeyen ancak depolama alanı tüketen veya arka plan süreçlerinde görünen gizlenmiş uygulama | Çok Yüksek |
| Mikrofon/kamera izinlerinde değişim | Hiç açmadığınız bir uygulamanın mikrofon veya kamera iznine sahip olması; Android 12+ bildirim çubuğunda yeşil nokta izin kullanımını gösterir | Orta-Yüksek |
| Görüşmelerde arka ses veya yankı | Aktif dinleme yazılımlarının ses akışını klonlaması sırasında oluşan gecikme veya geri besleme gürültüsü | Orta (ağ kalitesi ile karıştırılabilir) |
iOS (iPhone/iPad) Cihazlarda Teknik Belirtiler
| Belirti | Teknik Açıklama | Not |
|---|---|---|
| Jailbreak varlığı | Stalkerware’in büyük çoğunluğu iOS’a yüklenmek için jailbreak gerektirir; Cydia uygulaması veya /private/var/lib/apt dizini jailbreak kanıtıdır | Jailbreak olmadan da sıfır-tıklama saldırısı (Pegasus) mümkündür |
| iCloud hesabında beklenmedik oturum | Ayarlar → Apple Kimliği → Oturum açılan cihazlar listesinde tanımadık cihaz; stalkerware iCloud yedeklerinden veri çekebilir | İki faktörlü doğrulama devre dışıysa risk artar |
| Safari ve uygulama çökmelerinde artış | Bellek üzerine binen casus yazılım, sistem uygulamalarında kararsızlığa yol açabilir | iOS güncellemesiyle de oluşabilir; tek başına yeterli kanıt değil |
| Isınma ve pil tüketimi (uçak modunda) | Pegasus sınıfı casus yazılımlar uçak modunda bile yerel veri biriktirip bağlantı sağlandığında toplu gönderi yapabilir | Çok Yüksek şüphe kriteri |
| MVT taraması bulgusu | Amnesty International’ın Mobile Verification Toolkit aracı, Pegasus IOC’larını (güvenlik ihlali göstergelerini) tespit etmektedir | Altın standart; kriminalistik kanıt değeri taşır |
Cihazınızda Zararlı Yazılım Var Ne Demek?
Bu uyarıyla karşılaşan kullanıcılar çoğu zaman panikler. Ancak her zararlı yazılım uyarısı gerçek bir tehdidi yansıtmaz; uyarının kaynağına göre değerlendirme yapılmalıdır.
| Uyarı Kaynağı | Anlam | Yapılması Gereken |
|---|---|---|
| Google Play Protect | Play Store dışından yüklenen veya bilinen imzayla eşleşen zararlı uygulama tespit edildi | Uygulamayı kaldırın; kaldıramazsanız kriminalistik inceleme talep edin |
| Apple Güvenlik Bildirimi | Apple, cihazınızın devlet destekli saldırıya hedef olduğunu tespit etti (2021’den bu yana iPhone sahiplerine gönderilmektedir) | Derhal MVT taraması ve adli bilişim incelemesi; cihazı kapatmayın |
| Kaspersky / ESET / Bitdefender uyarısı | Bilinen zararlı yazılım imzası veya davranış tabanlı anomali tespit edildi | Karantinaya alın; hash değerini kaydedin; kriminalistik inceleme için adli kopyayı alın |
| Tarayıcı pop-up uyarısı | Büyük ihtimalle scareware: sizi sahte antivirüs satın almaya veya telefon numarası aramaya yönlendirme girişimi | Bağlantıya tıklamayın; sekmeyi kapatın; uyarıyı arayın |
| Kendi gözleminiz (belirtiler) | Yukarıdaki teknik belirtilerden birden fazlasını gözlemliyorsunuz | Cihazı yedeklemeden önce kriminalistik inceleme; factory reset delili yok eder |
Casus Yazılım Tespitinin Hukuki Çerçevesi (Türkiye)
Casus yazılım tespiti yalnızca teknik bir süreç değildir; hukuki sonuçları olan bir kriminalistik inceleme sürecidir. Aşağıdaki tablo, rakip sayfaların tamamında eksik olan yasal çerçeveyi sistematik biçimde sunar.
| Yasal Düzenleme | Fiil | Yaptırım |
|---|---|---|
| TCK m.243 | Bilişim sistemine hukuka aykırı erişim (casus yazılım yerleştirmek amacıyla cihaza girmek) | 1 yıla kadar hapis; sistemin içeriği değiştirilmişse 6 ay – 2 yıl; sistem yetkisi varsa yarı artırım |
| TCK m.244/2 | Sisteme veri yerleştirme — casus yazılım yükleme eylemi bu madde kapsamındadır | 1 – 5 yıl hapis |
| TCK m.132 | Haberleşmenin gizliliğini ihlal — mesaj, e-posta, arama içeriğini okumak/kaydetmek | 2 – 5 yıl hapis; alenen yayma halinde 3 – 7 yıl |
| TCK m.134 | Özel hayatın gizliliğini ihlal — konum, fotoğraf, görüntü verisi toplanması | 1 – 3 yıl hapis; görüntü/ses kayıt cihazıyla 2 – 4 yıl |
| TCK m.136 | Kişisel verileri hukuka aykırı ele geçirme veya yayma | 2 – 4 yıl hapis |
| TCK m.245A | Yasadışı cihaz/yazılım üretme, satma, kullanıma sunma | 1 – 3 yıl hapis; ticari amaçlıysa artırımlı |
| KVKK m.12 + m.18 | Kişisel verilerin korunması için gerekli teknik tedbiri almama; veri ihlali bildirimi yapılmaması | 100.000 – 1.000.000 TL idari para cezası |
| CMK m.134 | Adli bilişim delil el koyma — casus yazılım içeren cihaza savcılık kararıyla el konulması | Adli kopya zorunlu; write-blocker kullanımı standart |
Kriminalistik Tespit Protokolü: 6 Adım
Standart antivirüs taramalarının yetersiz kaldığı durumlarda adli bilişim bilirkişisi tarafından uygulanan kriminalistik casus yazılım tespit protokolü aşağıdaki adımlardan oluşmaktadır. Bu protokol hem iOS hem Android için geçerlidir.
-
Cihazı Kapatmadan İzole Et — Uçak Modunu AçCihaz kapatılırsa RAM ve geçici depolama alanındaki volatile (uçucu) veriler yok olur. Uçak modu ile ağ bağlantısı kesilmeli; C2 sunucusuna uzaktan veri silme (remote wipe) komutu engellenmelidir. Bu adım atlandığında kritik deliller kalıcı olarak kaybedilebilir.
-
Write-Blocker ile Adli Kopya AlCellebrite UFED veya Magnet AXIOM aracılığıyla cihazın adli kopyası write-blocker kullanılarak alınır. Fiziksel veya dosya sistemi düzeyinde tam imaj çıkarılır. MD5 + SHA-256 çift hash değerleri hesaplanarak zincir muhafaza formu doldurulur. Bu adım, cihaz içeriğinin değiştirilmediğini mahkemede ispat eder.
-
iOS İçin MVT (Mobile Verification Toolkit) TaramasıAmnesty International Security Lab tarafından geliştirilen MVT, iPhone yedekleri ve iTunes backup dosyaları üzerinde Pegasus ve diğer devlet sınıfı casus yazılımların IOC (Indicators of Compromise — güvenlik ihlali göstergesi) veritabanıyla karşılaştırmalı tarama yapar. MVT bulgusu, kriminalistik delil kalitesi taşıyan tek iOS analiz yöntemidir.
-
Ağ Trafiği Analizi (C2 Sunucu Tespiti)Cihazın hangi IP adreslerine, ne sıklıkla ve hangi veri büyüklüğünde bağlandığı analiz edilir. Bilinen C2 (komuta-kontrol) sunucu adresleriyle, TOR çıkış düğümleri ve şüpheli domain’lerle eşleştirme yapılır. Gece saatlerindeki yoğun ve şifreli trafik özellikle incelenir.
-
Süreç Listesi, Cihaz Yöneticisi ve İzin AnaliziAndroid için: ADB (Android Debug Bridge) üzerinden çalışan süreçler listelenir; gizlenmiş uygulamalar /data/app ve /system/app dizinlerinde taranır. Cihaz yöneticisi yetkisine sahip uygulamalar özellikle incelenir. iOS için: jailbreak varlığı, şüpheli profil sertifikaları ve MDM (Mobile Device Management) yapılandırmaları araştırılır.
-
Bilirkişi Raporunun HazırlanmasıTespit edilen casus yazılımın türü, yüklendiği tarih ve saat (timestamp analizi), eriştiği veri kategorileri, iletişim kurduğu sunucu adresleri ve kriminalistik metodoloji; hash değerleri, IOC listesi ve zincir muhafaza belgeleriyle birlikte mahkemeye sunulabilir formatta raporlanır. Rapor HMK m.293 uzman mütalaası kapsamında veya CMK m.63 bilirkişi raporu olarak sunulabilir.
Hizmet Alanları
Mobil Cihaz Casus Yazılım Tespiti (Android ve iOS)
Akıllı telefon veya tablette casus yazılım, stalkerware veya RAT tespitine yönelik kriminalistik inceleme hizmetidir. Cellebrite UFED ile fiziksel adli kopya alımı, MVT taraması (iOS), ADB süreç analizi (Android), ağ trafiği IOC karşılaştırması ve yazılımın hangi verilere ne zamandan bu yana eriştiğinin belirlenmesi dahildir. Tespit raporu TCK m.132-136 kapsamında suç duyurusu için gerekli delil niteliğini taşır.
Bilgisayar ve Sunucu Zararlı Yazılım Analizi
Masaüstü, dizüstü bilgisayar veya kurumsal sunucularda keylogger, RAT, veri hırsızı veya casus yazılım tespiti. FTK Imager ile disk imajı alımı, Autopsy ile dosya sistemi analizi, Wireshark ile ağ trafiği incelemesi ve VirusTotal/YARA kural tabanlı imza analizi. Kurumsal casusluk, veri ihlali ve ticari sır çalınması davalarında bilirkişi raporu hazırlanır.
Stalkerware Tespiti ve Aile İçi Dijital Şiddet Davaları
Partner veya aile üyesi tarafından cihaza yüklenen ticari gözetleme yazılımının (mSpy, FlexiSPY, Hoverwatch, Cerberus vb.) kriminalistik tespiti. Yazılımın hangi tarihe kadar uzandığının tespiti, yüklenme yöntemi analizi ve TCK m.132-134-244 kapsamında suç duyurusu ile tazminat davasına esas bilirkişi raporu hazırlanması. Aile içi şiddet mağdurları için güvenlik protokolü önerileri de dahildir.
Kurumsal Casusluk ve Fikri Mülkiyet İhlali Analizi
Şirket cihazları veya ağında kurumsal casusluk amacıyla kullanılan casus yazılım ve keylogger tespiti. Çalışan tarafından kurulan keylogger ya da rakip firma destekli RAT enfeksiyonu vakalarında; etkilenen sistemlerin adli kopyasının alınması, çalınan verinin kapsamının belirlenmesi, zaman çizelgesinin çıkarılması ve ticari sır ihlali (TCK m.239), bilişim suçu ve KVKK ihlali kapsamında bilirkişi raporu hazırlanması.
Pegasus ve Devlet Düzeyinde Casus Yazılım Şüphesi İncelemesi
Gazeteci, avukat, aktivist veya kamuoyu figürü olan kişilerin cihazlarında Pegasus, Reign veya Hermit gibi devlet sınıfı casus yazılım şüphesi incelemesi. MVT ile iOS analizi, dijital güvenlik protokolü rehberliği, AİHM m.8 (özel yaşama saygı hakkı) ve uluslararası dijital haklar çerçevesinde hukuki süreç desteği. Bu alandaki inceleme en üst düzey kriminalistik hassasiyet gerektirmektedir.
Sık Sorulan Sorular
Casus yazılım nedir kısaca?
Casus yazılım (spyware); kullanıcının bilgisi ve rızası olmadan cihaza yüklenerek konum, mesaj, arama kaydı, şifre, fotoğraf ve kamera/mikrofon verilerini gizlice toplayıp uzak bir sunucuya ileten kötü amaçlı yazılımdır. Stalkerware, keylogger, RAT ve devlet sınıfı Pegasus bu kategorinin alt türleridir. Türk hukukunda casus yazılım yüklemek TCK m.243 ve m.244/2 kapsamında suçtur; elde edilen veriye göre m.132 haberleşme gizliliği, m.134 özel hayat ve m.136 kişisel veri suçları da gündeme gelir.
Telefonda casus yazılım olduğu nasıl anlaşılır?
En güvenilir teknik belirtiler şunlardır: pil ömründe ani ve kalıcı düşüş, uçak modundayken bile cihaz ısınması, açıklanamayan yoğun mobil veri tüketimi (özellikle gece saatlerinde), cihaz yöneticisi listesinde tanımadık uygulama, bilinmeyen veya gizlenmiş uygulama kurulumu, mikrofon/kamera iznine sahip uygulamalarda beklenmedik değişim ve görüşmelerde arka ses ya da yankı. Ancak bu belirtilerin varlığı casus yazılım için şüphe oluşturur; kesin tespit ancak MVT, Cellebrite veya Magnet AXIOM ile yapılan kriminalistik adli incelemeyle mümkündür.
Cihazınızda zararlı yazılım var ne demek?
“Cihazınızda zararlı yazılım var” uyarısı; cihazda kullanıcının onayı olmadan çalışan, veri çalan veya uzaktan kontrol imkânı tanıyan kötü amaçlı bir yazılımın tespit edildiği anlamına gelir. Bu yazılım spyware, keylogger, RAT veya fidye yazılımı olabilir. Uyarı güvenilir bir sistemden geliyorsa (Google Play Protect, Apple bildirim, köklü antivirüs) uygulamayı kapatmadan adli kopya prosedürü başlatılmalıdır. Tarayıcı pop-up şeklinde gelen uyarılar ise genellikle scareware (sahte alarm) olup tıklanmamalıdır. İkisi arasındaki farkı ayırt etmek için adli bilişim bilirkişisine başvurulması önerilir.
Casus yazılım tespit edildikten sonra ne yapılmalı?
Sırası önemlidir: (1) Cihazı kapatmayın ve factory reset yapmayın — volatile veriler ve delil yok olur. (2) Uçak moduna alarak C2 sunucusuyla bağlantısını kesin. (3) Adli bilişim bilirkişisinden write-blocker ile adli kopya alınmasını talep edin. (4) Kişisel veri ihlali varsa KVKK kapsamında 72 saatlik bildirim yükümlülüğünü değerlendirin. (5) Kriminalistik rapor hazırlandıktan sonra Cumhuriyet Savcılığına suç duyurusu veya şikâyette bulunun. Cihazı önceden silen veya fabrika ayarlarına döndüren kişiler, delil imhası iddiasıyla TCK m.281 (delil karartma) kapsamında ek riskle karşılaşabilir.
Casus yazılım tespiti için bilirkişi raporu hangi davalarda gerekir?
Casus yazılım tespiti bilirkişi raporu; TCK m.132-136-243-244 kapsamındaki ceza davalarında, aile içi dijital şiddet ve boşanma davalarında (stalkerware), ticari sır çalınması ve kurumsal casusluk tazminat davalarında, Pegasus gibi devlet sınıfı gözetleme şikâyetlerinde, KVKK veri ihlali idari süreçlerinde ve sigorta şirketleriyle yaşanan siber risk uyuşmazlıklarında gereklidir. HMK m.293 kapsamında uzman mütalaası ya da CMK m.63 bilirkişi raporu formatında mahkemeye sunulabilir.
Casus Yazılım Tespiti Uzman Mütalaası ve mobil/bilgisayar kriminalistik incelemesi için Aslan Kriminal Bilişim ile iletişime geçebilirsiniz.
Casus Yazılım Tespiti ve Kriminalistik Bilirkişi Raporu
Mobil veya bilgisayar cihazında casus yazılım şüphesi, stalkerware tespiti, kurumsal casusluk analizi ve mahkemeye sunulabilir bilirkişi raporu için İstanbul merkezli adli bilişim ekibimizle iletişime geçin.