Eyezy: Cebinizdeki gizli gözlemci
Eyezy, stalkerware silahlanma yarışının neşeli yeni katılımcısı. İsmi bir emoji girişimini veya aşırı hevesli bir göz bakım markasını andırdığı için masum sanılabilir. Ancak pastel renk paletine ve neşeli arayüzüne aldanmayın - Eyezy, maskaraya rağmen keskin dişleri olan bir gözetim yazılımı.
“İç huzuru”, “tam kontrol” ve “gerçek zamanlı güncellemeler” vaat ediyor - ki bu yanlış ellerde rahatlatıcı değil tehditkâr oluyor. Ve bu türün geleneği olduğu üzere, “ebeveynler için” olduğunu iddia ediyor.
Eyezy’nin yaptıkları (ve itiraf etmedikleri)
Standart özellikler sunuyor: SMS’lere, arama geçmişine, GPS konumuna, uygulama kullanımına, tarama geçmişine, sosyal medya özel mesajlarına, tuş vuruşlarına ve hatta silinmiş içeriğe erişim. Kısacası, hayatınızı bir roman gibi okuyor ve özetini başkasına satıyor.
“Büyülü Uyarılar” özelliği, stalker’ın - pardon, “endişeli kullanıcı"nın - belirli kelimeler yazıldığında veya hedef coğrafi sınırı aştığında bildirim almasını sağlıyor. Endişeli ebeveynler için bir araç olarak pazarlanıyor. Tabii “eski sevgilisine yine yazmış” ve “kadın sığınağına gitmiş” arka uçta neredeyse aynı görünüyor.
Eyezy, tüm rakipleri gibi gizli modda çalışıyor. Simge yok, uyarı yok, etik yok. Görünmez kalmak üzere tasarlanmış ve rahatsız edici bir ustalıkla bunu başarıyor.
Kurulum değişken: Android’de fiziksel erişim gerekiyor. iOS’ta iCloud erişimini ve hesap güvenliğinin ihlal edilmesini kullanıyor. Jailbreak gerekmiyor - “gizlilik ihlalini kolaylaştırmak” bir satış noktasıysa ne âlâ.
Pazarlanan masumiyet, silahlanmış erişim
Eyezy tamamen yumuşak hatlar ve ebeveyn kaygısı. Marka kimliği, casus teknolojisinden çok dijital kişisel gelişim gibi görünecek şekilde tasarlanmış. Hiçbir uyarı yok, istismar senaryolarından bahis yok, özel iletişiminize sessizce uzaktan erişim vermenin ne anlama geldiği sorgulanmıyor.
Oysa tam olarak bunu mümkün kılıyor. İş modeli, bir kişinin diğerini bilgisi olmadan izlemesine dayanıyor. Web sitesi gençlerden bahsediyor; internet forumları partnerlerden.
Bu inandırıcı inkâr asıl ürün. Yazılım sadece teslimat aracı.
Mağdurlar için anlamı
Eyezy FlexiSPY kadar güçlü değil ama mesele bu değil. Kontrolcü bir partnerden kaçmaya çalışan bir mağdur için temel bilgi sızıntısı bile -kime mesaj attığı, nereye gittiği, ne aradığı- yıkıcı olabilir. Güvenlik illüzyonu, istismarcıdan gelen tek bir zamansız mesajla yıkılabilir.
Ve devlet destekli casus yazılımların aksine, Eyezy sıradan insanlar tarafından pazarlanıyor, satın alınıyor ve kuruluyor. “Güven” kelimesini “kontrol"le eşanlamlı kullanan insanlar tarafından.
Mağdurlar cihazlarında tuhaf davranışlar fark edebilir - hızlı pil tükenmesi, beklenmedik yeniden başlatmalar, açılmamış mesajların okunmuş görünmesi. Ya da sadece istismarcının çok şey bildiğini. Eyezy makinedeki bir hayalet. Ve tüm hayaletler gibi kolay gitmiyor.
Eyezy’nin “gözlerini” çıkarmak
Kendini belli etmiyor. Sessizce veri topluyor. Tespit etmek genellikle yüklü uygulamaların, arka plan süreçlerinin veya şüpheli hesap aktivitesinin adli analizini gerektiriyor. Android’de teknik bilgisi olanlar uygulama izinlerini inceleyebilir. iOS’ta iCloud erişim desenleri ipucu verebilir.
Kaldırmak her zaman kolay değil. Fabrika ayarlarına dönmek işe yarayabilir ama fotoğrafları, mesajları, kanıtları da siliyor. Ve mağdurların risksiz hareket etme lüksü nadiren oluyor. Çoğu durumda cihazı tamamen değiştirmek veya sığınma evi teknoloji laboratuvarları gibi kontrollü ortamlarda uzman yardımı almak daha güvenli.
Eyezy’nin geliştiği ekosistem
Eyezy, mSpy ve FlexiSPY gibi, “izleme"nin saygın bir kelime ve “zorlayıcı kontrol"ün dipnot olduğu yasal ve kültürel bir boşlukta yaşıyor. Bu uygulamalar, yasaların gerçekliğe yetişemediği, niyetin savunma olarak kabul edildiği -sonuç gözetim, gözdağı ve zarar olsa bile- yargı bölgelerinde faaliyet gösteriyor.
Eyezy’nin sunduğu sadece bir teknik araç değil, bir anlatı: gözetimin sorumlu, şefkatli, hatta gerekli olduğu fikri. Partnerinizin mesajlarını okumanın, konumunu kontrol etmenin ve şifrelerini istemenin normalleştirildiği aynı toplumsal senaryonun parçası.
Bu senaryo bozuk.
Sorun sadece Eyezy değil
Eyezy bir semptom, hastalığın kendisi değil. Hastalık, sevginin erişimle kanıtlanması gerektiği, güvenliğin kontrol demek olduğu ve güvenin uygulamalarla zorlanacak bir şey olduğu varsayımı.
Sığınma evleri ve destek çalışanları için Eyezy, izlenmesi gereken pek çok isimden biri. Bir cihazda varlığı ciddiye alınmalı. Pazarlaması kuşkuyla okunmalı. Varlığına -yasal, toplumsal ve teknolojik olarak- meydan okunmalı.
İyi haber? İstismarcının aksine Eyezy iz bırakıyor. Ve güvenin aksine, yazılım kaldırılabilir.
Eyezy için örnek SIEM tespit kuralları
Eyezy, özellikle tuş vuruş kaydı, sosyal medya gözetimi ve ekran kaydı üzerine odaklanır ve genellikle sistem benzeri isimlerin altında gizlenir.
Erişilebilirlik veya girdi kaçırma yoluyla tuş kaydı etkinliği
{
"rule": {
"id": 100050,
"level": 12,
"description": "Eyezy tarzı erişilebilirlik kaçırma yoluyla tuş kaydı",
"if_sid": [62002],
"match": {
"accessibility_service": "com.eye.sysinput/.KeyCaptureService"
},
"group": "spyware, android, keylogger"
}
}
Eyezy, yazılan metni yakalamak için metin giriş hizmetlerine gizlice bağlanır, özellikle mesajlaşma uygulamalarında.
Sosyal medya yansıtma veya ekran kazıma girişimi
{
"rule": {
"id": 100051,
"level": 11,
"description": "Sosyal medya ekran kazıma – Eyezy varyantı",
"if_sid": [62001],
"match": {
"package.name": "com.eye.mirror.service"
},
"group": "spyware, android, social"
}
}
Ekran kaydedici ya da yansıtma aracı gibi görünüyor. Erişilebilirlik API’leri kullanıyorsa, özel mesajlarınızı izliyor olabilir.
Eyezy bulut altyapısına şüpheli DNS sorguları
event zeek_notice::Weird {
if (conn$host matches /eyezy|mirrorzone|eyec2/i &&
conn$duration < 45 secs &&
conn$resp_bytes < 1500) {
NOTICE([$note=Notice::Eyezy_C2_Traffic,
$msg="Olası Eyezy C2 beacon tespit edildi",
$conn=conn]);
}
}
Eyezy, belirsiz bulut alan adlarına sessiz HTTPS POST’lar gönderir. “eye” içeren alan adlarına küçük ve periyodik veri transferlerini izleyin.
Kurulum sonrası root veya ayrıcalık yükseltme
{
"rule": {
"id": 100052,
"level": 14,
"description": "Ayrıcalık yükseltme tespit edildi – olası Eyezy casus yazılımı",
"if_sid": [5500],
"match": {
"event_type": "privilege_escalation",
"package.name": "com.eye.sysinput"
},
"group": "android, spyware, root"
}
}
Eyezy, tamamen gizlenmek için root erişimi isteyebilir veya suistimal edebilir. Bu kurulumdan kısa süre sonra gerçekleşirse, dikkat çekin.
Eyezy davranışsal korelasyon meta kuralı
{
"rule": {
"id": 199996,
"level": 15,
"description": "Eyezy davranışsal deseni tespit edildi – muhtemelen gizli izleme",
"if_matched_sid": [100050, 100051, 100052],
"group": "spyware, survivor-risk, alert"
}
}
Hepsini yakalayın. Tuş kaydı, ekran kazıma ve root erişimi içeren paket asla tesadüfi değildir.