Suriye’de elektronik ödeme ve para transferi için geliştirilmiş bir Android uygulaması olan ShamCash sanılanın aksine büyük bir güvenlik zaafiyeti oluştururken Bağımsız dijital araştırmacılar tarafından her yönüyle deşifre edildi.
Uygulamanın İçindeki Çarpıcı Rakamlar
| 44+
Kullanıcıya bildirilmeyen gizli izin |
9
Sistem yetkisi değiştirme yöntemi — emsalsiz |
30
Yıl güvenlik sertifikası geçerliliği (normalde 1-3 yıl) |
1.ShamCash Nedir ve Temel Sorun Nedir?
ShamCash, Suriye’de elektronik ödeme ve para transferi için geliştirilmiş bir Android uygulamasıdır. Pek çok devlet memuruna maaşlarını almak için bu uygulamayı kullanmaları zorunlu tutulmuştur. Ancak bağımsız dijital güvenlik uzmanları uygulamayı açıp içini incelediğinde, para transferiyle hiçbir ilgisi olmayan şeyler buldular.
Temel sorun: Uygulama, kurulum sırasında kullanıcıya yalnızca 14 izin gösteriyor — oysa gerçek kodun içinde 44’ten fazla gizli izin bulunuyor.
2.Gizli ve Tehlikeli İzinler
Bu izinler kodun içinde mevcut, ancak kurulum sırasında kullanıcıya gösterilmiyor:
| ⚠ Kısa Mesajlarınızı (SMS) Okuma ve Gönderme
Uygulama teorik olarak mesajlarınızı okuyabilir, gizli OTP kodlarınızı ele geçirebilir ve sizin haberiniz olmadan telefonunuzdan mesaj gönderebilir. Bir mali uygulamanın SMS göndermesi için hiçbir meşru neden yoktur. |
| Açıklayıcı örnek: Düşünün ki birisine yazıcıyı tamir etmesi için ofis anahtarınızı verdiniz — ama o kişi gizli belge dolabının ve para kasasının anahtarlarını da aldı ve size söylemedi. |
| ⚠ Mikrofona Erişim
Uygulamada herhangi bir sesli arama özelliği bulunmuyor. Bir ödeme uygulaması neden mikrofona ihtiyaç duysun ki? Meşru bir açıklama yok. |
| ⚠ Telefondaki Tüm Dosyalara Tam Erişim (MANAGE_EXTERNAL_STORAGE)
Bu izin, telefondaki tüm dosyaların hiçbir istisna olmaksızın okunmasına olanak tanır: fotoğraflarınız, belgeleriniz ve hatta WhatsApp, Telegram ve bankacılık uygulamaları gibi diğer uygulamaların verileri dahil. |
| ⚠ Uygulama Kapatıldıktan Sonra Bile Konumunuzu Takip Etme
Uygulama, arka planda konum erişimi talep ediyor — yani uygulamayı kullanmadığınızda bile nerede olduğunuzu biliyor. |
| ⚠ Sizin Haberiniz Olmadan Ek Uygulama Yükleme
Kod, REQUEST_INSTALL_PACKAGES isteği içeriyor — bu, uygulamanın izniniz olmadan telefonunuza ek yazılımlar indirip yüklemesini mümkün kılar. Bu, klasik kötü amaçlı yazılım davranışıdır. |
3.Tuhaf Şifreleme Kütüphanesi (En Tehlikeli Bölüm)
Uygulamanın içinde yalnızca ödeme verilerini şifrelemekten sorumlu olduğu iddia edilen bir yazılım parçası bulunuyor. Ancak ayrıntılı teknik inceleme, bu parçanın şifrelemeyle alakası olmayan ek yetenekler içerdiğini ortaya koydu:
| ⚠ Çalışma Sırasında İnternetten Program İndirip Çalıştırma
Kütüphane, harici bir sunucudan yürütülebilir dosyalar açıp bunları doğrudan telefonunuzun belleğinde çalıştırabiliyor — hem de orijinal uygulamada görünmeden. Bu mekanizma, gelişmiş casus yazılımların yeteneklerini güncellemek için kullandığı bir yöntemdir. |
| Açıklayıcı örnek: Düşünün ki birisinden evinizin kapısını kilitlemesini istediniz — geldi ve yeni bir kilit taktı, ama aynı zamanda gizli bir arka pencere bıraktı ve istediği zaman, haberiniz olmadan oradan bir şeyler sokabilir. |
| ⚠ Gizli Anahtarlarınızı Sunucunun Anahtarıyla Şifreleme
En hassas verileriniz (PIN numarası, oturum kodları), sizin anahtarınızla değil, sunucu anahtarıyla şifreleniyor. Bu, uzak sunucunun bu verilerin şifresini çözebilen tek taraf olduğu anlamına gelir. |
| ⚠ Sistem Yetkilerini Değiştirmek İçin 9 Farklı Yöntem — Benzersiz
Kütüphanenin içinde, sistem çekirdeği düzeyinde işlem kimliğini değiştirmek için 9 farklı yol bulundu. Dünyadaki hiçbir meşru ödeme uygulaması bu yeteneğe ihtiyaç duymaz. |
4.Geliştiricinin Kimliğindeki Gizem
Yüz binlerce kişinin kullandığı bu sistemde aşağıdaki hiçbir uygulama ve içeriği yok:
-Yayımlanmış bir gizlilik politikası yok — dünyadaki her meşru mali uygulama için temel bir gereklilik.
-Resmi olarak açıklanmış bir geliştirici şirket adı yok — hukuki hesap verebilirliğin tamamen yokluğu.
-Uygulama, Google Play veya Apple Store’da mevcut değil — güvenlik inceleme süreçleri atlatılıyor.
-Kullanım koşulları, veri ihlali durumunda her türlü sorumluluktan açıkça muaf tutuyor.
Dosyayı hazırlayan bağımsız dijital araştırmacılar, uygulamayı muhtemel geliştirici olarak Türk şirketi NorthSoft’a ve API katmanının teknik geliştiricisi olarak ShamLogix’e işaret etti. Her iki şirket de bu programı yapmasına rağmen herhangi resmi bir belgelerinde bu programa yer vermemişlerdir.
5.En Fazla Risk Altında Olanlar
| Kategori | Açıklama | Risk Düzeyi |
| A | Devlet memuru / bankacı / güvenlik / askeri personel | Çok Yüksek Risk |
| B | WhatsApp, Telegram, fotoğraf ve belgeler içeren kişisel telefon | Yüksek Risk |
| C | Hastane, mahkeme, güvenlik şirketi cihazı | Yüksek Risk |
| D | Günlük kullanım için kişisel telefon | Orta Risk |
| E | Yalnızca bu uygulama için ayrılmış telefon | Görece Düşük |
6. Şimdi Ne Yapmalısınız?
1.Devlet memuru, güvenlik veya bankacılık personeliyseniz: Uygulamayı asla ana telefonunuza yüklemeyin.
2.En iyi çözüm: Yalnızca ShamCash için ayrılmış ucuz bir Android telefon kullanın — fotoğraf, WhatsApp veya belge olmadan.
3.İzinleri hemen kaldırın: Ayarlar → Uygulamalar → ShamCash →İzinler. Kaldırın: Dosyalar, Fotoğraflar, Kişiler, Mikrofon, Konum.
4.Arka plan verilerini kapatın: Ayarlar → Uygulamalar → ShamCash → Arka Plan Verisi → Kapat.
5.Bu uyarıyı paylaşın: uygulamayı kullanan herkesle, özellikle devlet memurları ve hassas sektörlerde çalışanlarla bu dosyayı paylaşın.
| Sonuç
Bağımsız dijital araştırmacılar, aynı anda sekiz endişe verici teknik kalıp tespit etti — bunların toplamı meşru güvenlik uygulamaları olarak yorumlanamaz. Bu entegre beşli kalıp, gelişmiş Uzaktan Erişim-Truva Atı (RAT-Romute Acceses Target) yapısıyla örtüşmektedir. Uygulama, hiçbir şeffaflık olmaksızın yüz binlerce kişiye zorunlu kılınmış ve sorumluluğu üstlenecek yasal bir kurum açıklanmamıştır. Aksi kanıtlanana kadar dikkatli olmak zorunludur. |
Dosyanın detaylı bilgilerine ekteki PDF’den ulaşabilirsiniz
ShamCash_Forensic_Report_Turkish
Kürdistan Stratejik Araştırmalar Merkezi
