Ticari casus yazılımların yükselişinden bu yana görülen en kapsamlı sızıntılardan birinde, Predator casus yazılımını geliştiren Intellexa grubuna ait belgeler internete düştü. Belgeler, yazılımın daha önce bilinmeyen sıfır gün (Zero-Day) açıklarını ve internet reklamları üzerinden yapılan otomatik bulaşma yöntemlerini kullandığını kanıtladı. Bu teknik, kullanıcının hiçbir bağlantıya tıklamasına gerek kalmadan cihazın ele geçirilmesine olanak tanıyor.
Mısır Ulusal Telekomünikasyon Düzenleme Kurumu’na bağlı EG-CERT de Google ve Apple’ın, 150'den fazla ülkede akıllı telefon kullanıcılarını hedef alan gelişmiş saldırılar konusunda yaptığı uyarının ardından bir açıklama yayımladı. Yapılan değerlendirmelere göre saldırılar, daha önce tespit edilmemiş açıklar ile resmi kurumları taklit eden zararlı mesajlara dayanıyor.
Arap Araştırma ve Çalışmalar Merkezi Yapay Zekâ ve Siber Güvenlik Birimi Başkanı Dr. Muhammed Muhsin Ramazan, sızdırılan belgelerin Predator’un çalışma mekanizmasına dair bugüne kadarki en ayrıntılı verileri sunduğunu belirtti. Belgelerde eğitim dökümanları, teknik şemalar, dahili sunumlar ve hedef alma aşamasından cihazı tamamen kontrol altına almaya kadar tüm süreci gösteren videolar yer alıyor.
Ramazan’a göre Predator’un “Aladdin” adı verilen yeni modülü, saldırıyı reklam ağları üzerinden yürütüyor. Reklam, web sitelerinde ve uygulamalarda normal bir içerik gibi görüntüleniyor; kullanıcı reklamı yalnızca gördüğü anda — tıklamasa bile — tarayıcı veya sistem bileşenindeki bir açık tetikleniyor. Böylece cihaz önce hafif bir casus yazılımla enfekte ediliyor, ardından Predator’un tam bileşenleri yükleniyor.
Bu yöntem, “Zero-Click Exploit” olarak biliniyor ve günümüzde siber saldırıların en tehlikeli biçimi olarak kabul ediliyor.
Sızan dokümanlar Predator’un geniş bir erişim yelpazesine sahip olduğunu gösteriyor:
Kamera ve mikrofonu gizlice açma
WhatsApp, Telegram ve diğer uygulamalardaki şifreli mesajlara erişme
Fotoğraflar, videolar, dosyalar ve konum verilerini alma
Aramaları gizlice kaydetme
Sisteme uzaktan müdahale ederek yeni bileşenler yükleme
iOS ve Android güvenlik mekanizmalarını aşma
Saldırıların yalnızca gazetecilere veya aktivistlere değil; avukatlara, STK çalışanlarına ve bazı ülkelerdeki siyasi isimlere kadar geniş bir kesime yöneltildiği belirtiliyor.
Ramazan, uluslararası yaptırımlara rağmen Intellexa’nın Predator’un geliştirilmesini sürdürdüğünü, 2023–2024 döneminde özellikle iOS için kritik açıkların satın alındığını ve bazı saldırılarda aktif biçimde kullanıldığını söyledi. Sızdırılan belgelerde Avrupa, Afrika ve Orta Doğu’da yeni müşteri listelerinin yer aldığı da ifade ediliyor.