Google, Türkiye’nin de kurbanları arasında olduğu dünyanın en tehlikeli virüsünü buldu

05 Nisan 2017 20:00

Google, dehşet saçan İsrailli şirket NSO Group’un ürettiği Pegasus isimli bir casus yazılımı, Android’de ortaya çıkardı. Türkiye de kurbanlar arasında.

iPhone için yazılmış Pegasus, Ağustos 2016’da ortaya çıkartılmıştı. Pegasus, o zamanlar Apple tarafından henüz kapatılmamış Zero-days takma isimli 3 güvenlik açığını eşi benzeri görülmemiş bir şekilde suistimal ediyordu. Yazılım, Meksikalı bir gazeteci ve şu anda vatan hainliği suçlamasıyla cezaevinde olan Birleşik Arap Emirlikleri’nde Ahmed Mansoor isimli bir aktivisti hedef almıştı.

NSO Group: Portföy şirketi adı altında özellikle hükümetlere gözetleme ve ifşa amaçlı hizmet ettiği yıllardır çeşitli skandallarla ispatlanmış şüpheli bir İsrailli şirket. Amerikan şirketi Francisco Partners’a ait ve Forbes’un skandal haberiyle birden fazla casusluk şirketiyle birlikte çalıştığı ortaya çıkartılmıştı. Bir keresinde, Türkiye’nin vatandaşlarını internet servis sağlayıcıları yoluyla gözetlemekle de suçlanmıştı. Bugüne kadar yaptıkları en tehlikeli yazılım: Pegasus.


(En sağda Omri Lavie ve en solda Shalev Hulio; NSO Group’un kurucuları)

Google, Pegasus’un varlığından haberdardı ve Pegasus’un Android’de ne durumda olduğunu anlamak için güvenlik şirketi Lookout’la ortaklaşa bir soruşturma yaptı. 3 Nisan’da Google’ın kendi geliştirici blog’unda yayınladığı soruşturma detayları, şok edici.

Tıpkı iPhone versiyonu gibi, Android’deki Pegasus da çok gelişmiş özelliklere sahip: SMS ile komut alabiliyor, gerekirse kendisini yok edebiliyor, mesajları okuyabiliyor, Whatsapp aramalarını bile kaydedebiliyor, Facebook, Twitter, Skype ve Gmail aktivitenizi olduğu gibi patronlarına gönderebiliyor. Lookout’un mayısta yaptığı habere göre ise, kamera ve mikrofonunuzun da sahibi, klavyenizin de; ve ekran görüntüsü de alabiliyor.

Dünya üzerindeki en sofistike saldırılardan biriydi

Google için üretilen Pegasus 2016’nın sonlarına doğru keşfedilmişti. Yeni yapılan soruşturmada, 1,4 milyar Android cihazdan sadece birkaç düzine cihazın etkilendiği ve 2 telefonun etkilenme tarihi 2014’e kadar gittiği bulunsa da, güvenlik şirketi Lookout’a göre Pegasus casus yazılım dünyasında en önemli konuma sahip. Lookout başkan yardımcısı Mike Murray, Android Pegasus’u için “dünya üzerindeki en sofistike saldırılardan biriydi” diyor. Lookout, Toronto Üniversitesi ile yaptığı işbirliği ile iPhone için Pegasus’u da ifşa etmişti. Şimdi ise Google’a yardım etti.

Pegasus’un en sofistike özelliği kendi kendisini yok edebilmesiydi. Bu sayede tam 3 sene boyunca kimse onun varlığını bilmeden yüzlerce telefonda çalışmıştı. “Eğer yakalanacakmış gibi hissederse kendisini siliyor” diyerek açıklıyor Lookout araştırmacısı Michael Flossman. “Bu yüzden enfekte örnekleri yakalamamız bu kadar uzun sürdü.”

Pegasus’un iOS versiyonu, eğer cihazda jailbreak yapıldığını anlarsa kendisini kaldırıyordu. Android’de ise, bağlı olduğu sunucularla belli bir süre iletişim gerçekleştiremediğinde, ya da kendisini tanıyabileceğini bildiği bir anti-virüs yüklenirse bu yola gidiyordu. Google ve Lookout’un keşfettiği enfekte telefonlardan birisi Samsung’du, ve Pegasus telefonun sistem güncellemeleri almasını sağlayan modülü yok etmişti, böylece Samsung’un ya da Google’ın güvenlik açıklarını kapatan bir güncellemesini almasını engellemişti.

Türkiye’de etkilenen ülkeler arasında

Android için Pegasus’un bazı Androidlerde, Framaroot tekniğini kullanarak önce cihazı root’ladığı ve sistem üzerinde yönetici kontrollerine sahip olduğu, bazı vakalarda ise tıpkı iPhone’daki gibi zero-days açıklarını kullandığı tespit edildi.Google yaptığı açıklamada Pegasus kurbanlarının en çok İsrail’de olduklarını, fakat diğer ülkeler arasında Gürcistan, Meksika, Türkiye ve Arap Emirlikleri’nin de olduğunu söyledi. NSO Group, Lookout’un kendilerine bütün ulaşma taleplerini reddetti. NSO Group’u yıllardır bir gölge gibi takip etmeye devam eden güvenlik şirketi Lookout, “Bu hikaye burada sonlanmayacak” yorumunu yaptı. Google, Pegasus’un Play Store’a sızmayı hiç başaramadığını açıkladı.

Google ve Lookout, telefonlarında Pegasus yüklü olduğu tespit edilen kurban olmuş kullanıcıları konuyla ilgili bilgilendirdiklerini ve uyardıklarını söylediler.

Cihazınız her zaman güncellenmiş olsun

Son olarak Google, yazdığı soruşturma blogunda Pegasus konusunda endişeli olan kullanıcıların ne yapabileceklerine de birkaç klasik tavsiye ile değindi. “Sadece güvenilir kaynaklardan uygulama yükleyin ve cihazınız her zaman güncellenmiş olsun. Kilit ekranınızda bir kilidiniz olsun ve Google’ın anti-malware yazılımı Verify Apps’in açık olduğundan emin olun” demekle yetinen Google’ın, bu skandaldan sonra Pegasus’a karşı nasıl önlemler alacağını muhtemelen bilemeyeceğiz. Zira iOS’in güvenlik açıklarını kapatan güncellemelerinde de sadece “Bu güncelleme güvenlik açıklarını kapatmaktadır” yazıyor ve güncellemenin hangi açıklardan bahsettiği, ya da bu açıkları nasıl kapattığıyla ilgili hiçbir bilgi verilmiyor. Bunun nedeni, kötü amaçlı geliştiricilerin, sistemin güvenlik teknikleriyle ilgili bilgilenmelerini ve kendilerini geliştirmelerini engellemek.

Google soruşturma dosyasının bazı detaylarına bu linkten ulaşılabilir.

Paylaş