Kurallar ve Açıklamaları

11 - Device IP Location Changed (Android iOS Web)

Geolocation bilgisi ip adresi üzerinden temin edilmektedir.Uygulama SDK -Snippetten toplamış olduğu ip adresini kendi bünyesinde brandırdığı veri tabanıyla sorgular.Veri tabanından yaptığı sorguyla Ülke,Şehir bilgisini dönmektedir.Ülke bilgisi %90-%95 doğrulukla çalışmaktadır.Şehir bilgisi %60-85 arası çalışmaktadır.(Ip üzerinden konum tespiti yapan tüm uygulamalarda doğruluk değeri ortalama bu şekildedir.)

12 - Location Changed in Current Session (Android iOS Web)

Geolocation bilgisi ip adresi üzerinden temin edilmektedir.Uygulama SDK -Snippetten toplamış olduğu ip adresini kendi bünyesinde brandırdığı veri tabanıyla sorgular.Veri tabanından yaptığı sorguyla Ülke,Şehir bilgisini dönmektedir.Ülke bilgisi %90-%95 doğrulukla çalışmaktadır.Şehir bilgisi %60-85 arası çalışmaktadır.(Ip üzerinden konum tespiti yapan tüm uygulamalarda doğruluk değeri ortalama bu şekildedir.)IP adresine dayalı olarak cihazın coğrafi konumunda değişiklik tespit edildi.Bu olay, korunan mobil veya web uygulamasındaki mevcut kullanıcı oturumu sırasında cihazın coğrafi konumu değiştiğinde ortaya çıkar.

13 - User IP location changed (Android iOS Web)

Geolocation bilgisi ip adresi üzerinden temin edilmektedir.Uygulama SDK -Snippetten toplamış olduğu ip adresini kendi bünyesinde brandırdığı veri tabanıyla sorgular.Veri tabanından yaptığı sorguyla Ülke,Şehir bilgisini dönmektedir.Ülke bilgisi %90-%95 doğrulukla çalışmaktadır.Şehir bilgisi %60-85 arası çalışmaktadır.(Ip üzerinden konum tespiti yapan tüm uygulamalarda doğruluk değeri ortalama bu şekildedir.)IP adresine dayalı olarak cihazın coğrafi konumunda değişiklik tespit edildi.

27 - Access to malicious domain (Android iOS Web)

Malicious domain bilgisi GroupIb-Intellegince ekiplerinden,internette yer alan açık kaynak sistemlerden referans alınarak oluşturulmaktadır.Bu bilgi doğrultusunda uygulamadan gelen verilerek karşılık tetiklenmektedir.

32 - TOR Used (Android iOS Web)

Bu kural TOR ağından bir bağlantı kurulup kurulmadığına bakmaktadır. Uygulamanın silinip silinmediğine bakmaz sadece TOR ağından web sitesine yada mobil uygulamanın kullanılıp kullanılmadığını bakar.

55 - Activity from black-listed IP (Android iOS Web)

How it works: checks if user authenticated to the app, and then checks if its IP address belongs to the block list 'subnet_blocklist'

58 - New login from compromised device (Android iOS Web)

GroupIb'nin FraudProtection ve diğer ürünlerinde işaretlenmiş olan oturumlardan birisiyle eşleşmiş ise bu kural tetiklenmektedir.

92 - Suspicious Mobile Application (Android)

Şu anda, bu kuralla tespit edilen uygulamanın doğrudan silinme kaydı mevcut değildir. Ancak, Burgan Bank Mobile için etkinleştirilen Rule 2520, şüpheli bir uygulamanın silinme kaydını tespit etmektedir (bu, mutlaka Rule 92 ile tespit edilen uygulama olmak zorunda değildir). Ayrıca, cihazdan kötü amaçlı yazılımların son silinmesini tespit eden Rule 2532 bulunmaktadır; ancak bu uyarıda uygulama detayları iletilmemektedir.

93 - Mobile Trojan (Android)

Sistem, kullanıcının Android cihazında yüklü bir mobil trojan uygulaması tespit ettiğinde bu event tetiklenir. Bu tür uygulamalar son kullanıcı ve hesabı için önemli bir risk oluşturur. Sistemdeki trusted_android_harmful_apk listesine eklenmiş uygulama hash’leri ise göz ardı edilir.

94 - Mobile Banking Trojan (Android)

Sistem, kullanıcının Android cihazında yüklü bir mobil bankacılık trojan uygulaması tespit ettiğinde bu event tetiklenir. Bu tür uygulamalar para hırsızlığı, otomatik para transferi, uzaktan erişim ve hesap ele geçirme gibi faaliyetler konusunda uzmanlaşmıştır. Sistemdeki trusted_android_harmful_apk listesine eklenmiş uygulama hash’leri ise göz ardı edilir.

111 - New user device (Agent ID + fingerprint) (Android iOS Web)

How it works: If it's the first login from the new device, then it checks if new canvas was generated or used the previous one. If new canvas was generated, then alert triggers

203 - Sign in with compromised login (Android iOS Web)

"Bir cihazın ele geçirilip geçirilmediği sorusu, “login_blocklist” listesindeki Login ID (Kimlik) detaylarının varlığına dayanmaktadır. Bu liste sistem listesi olup, tamamen her müşteri tarafından ayrı ayrı yönetilmektedir. Ele geçirilmiş Logins (Kimlikler) bu listeye manuel olarak veya otomatik şekilde eklenebilir. Bunun gerçekleşebilmesi için, Logins (Kimlikler) belirli senaryolara göre ele geçirilmiş olarak tanımlanmalıdır – örneğin belirli kuralların tetiklenmesi kombinasyonu gibi. Ele geçirilmiş Login, bir kişinin kullanıcı adı ve şifresi (veya diğer kimlik doğrulama bilgileri) hesabına yetkisiz kişiler tarafından çalındığında, sızdırıldığında veya başka bir şekilde ele geçirildiğinde tanımlanır."

204 - Signin from fraudulent subnet (extended list) (Android iOS Web)

How it works: checks if user authenticated and its request is being proceed from the subnet from which fraudulent actions were performed before. Uses inner bad subnets list. It's more extended list than block list of IPs, therefore it is less precise.

210 - Android: Accessibility service (Android)

210 numaralı olay türü, genellikle uygulamayla çalışmak için erişilebilirlik hizmetlerinin kullanımının tespit edilmesi durumunda tetiklenir. Bu hizmetler genellikle görme bozukluğu, işitme zorluğu veya cihazla normal etkileşimi sınırlayan diğer engelleri olan kullanıcılar tarafından etkinleştirilir. Bu hizmetlerin bazı işlevleri arasında metinden sese (text-to-speech) dönüştürme, büyütme denetimi ve ekrandaki metni sesli okuma gibi özellikler bulunur. Yapılan analiz, söz konusu olayın kullanıcıya ait oturumların büyük çoğunluğunda tetiklendiğini göstermektedir ki bu da bu müşteri için normal bir davranışa işaret etmektedir. Ayrıca, 210 numaralı olayın tek başına bir tehdit ya da şüphe oluşturmadığını, ancak aşağıdaki gibi diğer olaylarla birlikte görülmesi durumunda risk teşkil edebileceğini belirtmemiz gerekir:

• 918 (Android: Uygulamanın meşru olmayan bir kaynaktan indirilmesi),
• 260 (Android: Bilinmeyen kaynaklardan indirme özelliğinin etkinleştirilmesi),
• 255 (Android: Geliştirici modunun etkinleştirilmesi).

Bu tür olaylar, dolandırıcıların cihazı ele geçirme veya kullanıcı adına işlem yapma girişimlerini gösterebilir.

210 kuralını tetiklenmesi için gereken bazı izinler;

1. android.permission.BIND_ACCESSIBILITY_SERVICE
2. android.permission.RECEIVE_BOOT_COMPLETED
3. android.permission.SYSTEM_ALERT_WINDOW
4. android.permission.READ_PHONE_STATE
5. android.permission.GET_TASKS
6. android.permission.INTERNET
7. android.permission.ACCESS_NETWORK_STATE
8. android.permission.CAMERA

Bu izinlere ek olarak kullanıcının hareketleri de izlenmektedir. Şüpheli hareketlerde bulunursa (örnek: TCKN veya Müşteri NO: Kopyala yapıştır yapması) 210'nun tetiklenmesine neden olacaktır.

219 - FI: Unusual activity using known high-risk hosting service (Android iOS Web)

How it works: checks user's subnet - if it belongs to the 'trusted_subnet_hostings', then automatically skips; if it belongs to the inner list socks and proxy, then alert triggers

248 - 3DS Leave (Web)

3DS Leave olayı, kullanıcının 3D Secure akışı içerisindeki sayfa/oturum terk etme veya yönlendirme hareketlerini yakalamak için tasarlanmış bir event.

Çalışma mantığı:

• 3DS Leave, 3D Secure akışı sırasında tarayıcı penceresi veya sayfa context’i değiştiğinde tetikleniyor.
• Özellikle yönlendirme (redirect) veya sayfa yeniden yükleme (refresh) gibi durumlarda üretilebiliyor.
• Ancak arka plana atma (minimize), sekme değiştirme gibi durumlarda tetiklenmiyor, çünkü kullanıcı aslında “flow”u terk etmiyor, sadece tarayıcı odak dışına çıkıyor.

Aşağıda test ettiğimiz senaryoları bulabilirsiniz, 1-3DS leave sayfa yenilendiği her durumda üretilmekedir. örnek:3DS ödeme sms otp kodu başarılı şekilde girildiğinde doğrulama işleminiz başarılı şekilde gerçekleştirilmiştir sayfsına ardından preprod go güvenli ödeme sayfasına yönlendirmektedir. Sayfa içersinde 2 defa geçiş olduğu için 3DS Leave 2 kere üretilmektedir. 2-Başka bir sekmeye geçildiğinde 3DS leave tetiklenmemektedir. 3-Sayfa yenilendiği (F5) senaryoda 3DS leave tetiklenmemektedir. 4-Sms OTP kodu süre içersinde girilmediği senaryoda "Doğrulama işleminiz iptal edilmştir."Mesajı çıkmakta ve 3DS leave ve 3DS Cancel tetiklenmektedir. 5-Web tarayıcı simge durumuna küçültüldüğünde 3DS leave tetiklenmmemektedir. 6-Sekme kapatıldığında ki senaryoda herhangi bir 3DS type id'si üretilmemektedir. 7-İşlemi iptal et butonu basıldığında ki senaryoda 3DS leave ve 3DS Cancel tetiklenmektedir.

266 - Android: Application hash changed (Android)

"Hash değeri, uygulamanın kod imzası (signing certificate) veya paket dosyası (APK/IPA) üzerinden hesaplanmaktadır. Uygulamada yapılan herhangi bir güncelleme, yeniden imzalama veya paket değişikliği durumunda hash değeri farklılaşır. Bu nedenle, hash değişikliği uygulama bütünlüğünde veya sürümde bir değişiklik olduğunu gösterir."

328 - Android: overlay activity (Android)

"Bu senaryoda sistem, uygulama ekranı üzerinde başka bir katman (örneğin pop-up, sistem bildirimi, başka bir uygulama penceresi vb.) görüntülendiğinde overlay (örtüşme) etkinliği olarak algılama yapar. Algılama, aktif uygulama penceresi üzerinde farklı bir uygulamanın UI katmanı tespit edildiğinde tetiklenir. Dolayısıyla, hangi aktivitenin overlay olarak algılandığı, o anda ön planda olan uygulama penceresi ve overlay kaynağı (ör. sistem izin ekranı, üçüncü taraf uygulama, ekran kaydedici vb.) üzerinden belirlenir."

393 - Login from a blocklisted country (Android iOS Web)

"“Login from a blocklisted country” senaryosunda, kullanıcının IP adresi üzerinden ülke bilgisi GeoIP veritabanı aracılığıyla tespit edilir. Elde edilen ülke, sistemde tanımlı blocklist ile karşılaştırılır ve eşleşme olması durumunda kural tetiklenir. “Blocklisted country” bilgisi, bu GeoIP sorgusu sonucunda elde edilen ülke verisine dayanmaktadır.Yüksek riskli ülkeler listesinde yer alan IP adreslerinden gelen etkinlikleri izler."

How it works: if customer's IP belongs to the 'high_risk_countries' list, then alert triggers. Require user to log in

716 - Long Active Screen Sharing session (Android iOS)

"Long screen sharing” senaryosu, kullanıcının cihazında ekran paylaşımı etkinliğinin belirli bir süre boyunca (örneğin tanımlı eşik süresinden daha uzun) devam etmesi durumunda tetiklenir. İlgili senaryonun tetiklenmemiş olma nedeni, ekran paylaşım süresinin eşik değerin altında kalması veya uygulamanın paylaşım durumunu doğru şekilde raporlamamış olması olabilir."

724 - Suspicion of using cloning software (Android)

“Suspicion of using cloning software” senaryosu, cihaz üzerinde uygulama klonlama araçlarının kullanımına dair belirtiler tespit edildiğinde tetiklenir.Uygulama klonlama şüphesi (paket, yüklü bir uygulamaya ait bilgiler içeriyor) (Örneğin:Burgan bank mobile uygulaması cihaz içersinde klonlandığında bu kural tetiklenmektedir.Banka uygulamasının klonlanmış versiyonunu bulduğunda tetiklenmektedir.)

725 - Cloning software has been detected on the device (Android)

Cihaz üzerinde uygulama klonlama araçlarından bir tanesi bulunduğu taktirde bu kural tetiklenmektedir.Uygulama klonlama araçları son kullanıcılar tarafından çift whatsapp,çift instagram gibi amaçlar için kullanıldığından dolayı son kullanıcı tarafında popülerdir.Dolayısıyla çok fazla tetiklenmesi normal bir durumdur.

764 - Multi-accounting using cloning software (Android)

Son bir saat içinde aynı IP üzerinde klon uygulama kullanan 3’ten fazla cihaz tespit edildi.

829 - First appearance of the device in the FP system (Android iOS Web)

FP sisteminde cihazın ilk kez görünmesi

830 - Appearance of restored device_id (Android iOS)

Geri yüklenmiş bir device_id’nin görünmesi, cihaz_id’nin daha önce FP sisteminde tespit edilmiş olduğunu gösterir. Eğer aynı cihaz, yeni bir device_id ile tekrar görünürse, ancak sistem tarafından daha önce bilinen bir cihaz olarak tanınırsa, yeni device_id atılır ve daha önce kaydedilmiş device_id bu cihaza yeniden atanır. Bu, örneğin bir kullanıcının korumalı uygulamayı ve tüm verilerini silip ardından tekrar yüklemesi durumunda meydana gelebilir.

865 - Authorization using mule device (Android iOS Web)

Mule cihazı kullanılarak yapılan bir yetkilendirmeyi tespit eder.

866 - New login belong to mule device (first device for login) (Android iOS Web)

Mule cihazına ait yeni bir oturum açma işleminin ortaya çıkmasını tespit eder.

How it works: uses lists 'devices_linked_to_confirmed_mule' and 'devices_linked_to_confirmed_mules_jor' - then checks if login was made from the device from the lists, alert triggers

867 - Login with Global ID from mule device (Android iOS Web)

Global ID ile mule cihazından oturum açma.

869 - Authorization using mule's identity (Android iOS Web)

Mule kimliği kullanılarak yetkilendirme gerçekleştirildi.

Rule 873 (Android iOS Web)

How it works: checks if two unique accounts were detected in the same geohash from the high risk country. Uses inner high risk geohash list. By default, high risk countries are - 'TR', 'JO', 'YE', 'IQ', 'PK', 'LB', 'SY'

918 - Android: Application downloaded from a non-legitimate source (Android)

Android cihazdaki uygulamanın Google Play Store veya Huawei AppGallery dışındaki bir kaynaktan indirildiği tespit edildiğinde bu kural tetiklenir. Güvenilir Kaynak Listesi için linke bakınız

920 - Sign in from familiar Cloud ID (Android iOS)

Kişisel hesaba tanıdık bir Cloud ID ile başarılı giriş yapıldığında tetiklenir. Cloud ID, Fraud Protection sistemi aynı Cloud ID (Apple ID veya Google hesabı) ile korunan kaynağa 5’ten fazla (özelleştirilebilir) başarılı kullanıcı girişi tespit ettiğinde ve her giriş arasında en az 6 saat (özelleştirilebilir) bulunduğunda “tanıdık” olarak işaretlenir. Giriş sayacı 30 gün (özelleştirilebilir) sonra sıfırlanır.

921 - Sign in from unusual Cloud ID (Android iOS)

Kişisel hesaba alışılmadık bir Cloud ID (Apple ID veya Google hesabı) ile başarılı giriş yapıldığında tetiklenir. Alışılmadık Cloud ID, daha önce bu giriş için kullanılmamış yeni bir Cloud ID ile giriş yapılması durumunu ifade eder.

953 - Android: Application from a non-legitimate source has access to admin privileges (Android)

"Application from a non-legitimate source has access to admin privileges” senaryosu, cihazda resmî mağaza (Google Play veya App Store) dışından yüklenen bir uygulamanın cihaz yöneticisi (Device Admin) yetkilerine sahip olduğunu tespit ettiğinde tetiklenir.

Buradaki “admin privileges” ifadesi root erişimiyle doğrudan ilişkili değildir. Bu terim, uygulamaya cihaz yönetimi veya yüksek erişim izinleri verilmiş olması durumunu ifade eder. Örneğin, bu tür uygulamalar rehbere erişim, SMS okuma, ekran kilitleme, veri silme gibi izinlere sahip olabilir. API üzerinden toplanan aktif yönetici (admin) listesinde meşru olmayan bir kaynaktan yüklenmiş bir uygulama bulunduğunda tetiklenir."

990 - Fraud intelligence: IP with malicous history (Android iOS Web)

IP bilgileri son 30 güne kadar geri gider. Ancak, bu kural artık sistemimizde desteklenmemektedir. Bunun yerine, Rule ID 4500 – Fraudulent subnet’den aktivite (sistem listesi) veya Rule ID 4501 – Fraudulent subnet’den aktivite (global liste) etkinleştirilmesi önerilmektedir.

How it works: checks if IP belong to malicious history from the inner list threat ips in the last 30 days

992 - IOS: eSIM detected on the device (iOS)

Bu olay, sistem iOS cihazda aktif bir eSIM varlığını her tespit ettiğinde tetiklenir. Uyarının çalışabilmesi için CellularCapability özelliğinin etkin olması gerekir. CellularCapability, cihazın SIM kart parametrelerini toplar: iletişim teknolojisi (2G, 3G, LTE vb.), mobileCountryCode (MCC), mobileNetworkCode (MNC), operatör adı (carrierName), isoCountryCode, allowsVOIP. Bu bilgilerin tamamı FP Admin panelinde Alert Info kısmında aşağıdaki parametrelerle görüntülenir:

Sadece cihazda aktif bir eSIM olduğunda tetiklenir. (Teyit edilcek.)

{
    "sim_data": [{
        "mnc": "",
        "type": "",
        "isoCountryCode": "",
        "allowsVOIP": ,
        "mcc": "",
        "currentRadioAccessTechnology": "",
        "carrierName": "",
        "slotId": ""
    }, {
        "slotId": "",
        "currentRadioAccessTechnology": "",
        "mnc": "",
        "type": "",
        "carrierName": "",
        "isoCountryCode": "",
        "allowsVOIP": ,
        "mcc": ""
    }]
}

997 - Sign-in into user account from different locations (cities) within a short period of time (20 mins, customizable) (Android iOS Web)

Giriş konumlarındaki uyuşmazlık, her girişin IP adresi bilgilerine dayanmaktadır; çünkü cihazda GPS izleme izni her zaman etkin olmayabilir. How it works: retrieves city from the IP address, and if it's different from the previous one and time difference is less than 20 minutes, then alert triggers

999 - Active parallel user sessions (Android iOS Web)

Sistem, iki veya daha fazla cihazın aynı kullanıcı hesabına eşzamanlı olarak ya da kısa bir süre içinde (varsayılan eşik – 5 dakika) farklı konumlardan (şehirlerden) erişim sağlaması durumunda bir uyarı tetikler.

1100 - New client device with new login (Android iOS Web)

Yeni kayıtlı (en fazla 24 saat önce oluşturulmuş) bir oturum, yeni bir cihaz üzerinden gerçekleştiriliyor.

1020 – FI: Fraudulent mobile app is detected (Android)

Group-IB’nin daha önce karşılaştığı bilinen zararlı yazılımların SHA1 değerleri cihazda bulunduğu anlamına gelir ve bu durumda kural tetiklenir.

1120 - IP city changed in the session (Android iOS Web)

Bu kural IP adresine göre çalışmaktadır. GPS bazlı kurallarda olduğu gibi metre veya kilometre cinsinden mesafe ölçümü yoktur. Kural, IP İstihbarat servisimiz son şehir ile mevcut şehir arasında fark tespit ettiğinde tetiklenir (şehir, yerel İnternet Sağlayıcıları tarafından sağlanan bilgilerden kontrol edilir).

1403 - Referer is mobile application (Android iOS Web)

FP sistemi, Android üzerinde çalışan mobil uygulamadan korumalı bir kaynağa geçişi tespit etti.

1713 - High-risk application is installed (Android)

Senaryo aktif değildir.İstenildiği taktirde aktif edilebilir.Bankanın belirtmiş olduğu yüksek riskli uygulamalar eklenebilir.Kullanıcı cihazına, yüksek riskli listede yer alan bir uygulama yüklendi.

1721 - Not unique date of installation (Android)

Bir mobil uygulama fraud protection sistemi tarafından cihazın kurulum tarihinin daha önce başka bir oturumdada tespit edilmesi durumunda tetiklenir.Normalde her cihazın kurulum tarihi benzersizdir ancak kurulum tarihinin farklı cihazlarda veya oturumlarda tekrar görülmesi;sahte cihaz ortamı,klonlanmış cihaz imajı veye manipule edilmiş cihaz ayarları gibi olası durumları işaret eder. Olay, sistem yükleme tarihinin benzersiz olmadığını her tespit ettiğinde tetiklenir.

1722 - Activity from blocklisted geohash (Android iOS Web)

How it works: checks if user's geohash belongs to the list 'blocklisted_geohashes', then alert triggers

1723 - Activity from neighbors of blocklisted geohash (Android iOS Web)

How it works: checks if user's geohash is neighbor to any of the blocked geohashes from the list 'blocklisted_geohashes', then alert triggers

1724 - Activity from restricted country (GPS) (Android iOS Web)

Geolocation bilgisi cihazın gps bilgisi üzerinden temin edilmektedir.GPS'in doğruluğu kişinin bulunduğu alana göre değişiklik göstermektedir.Ortalama olarak 50 ile 100 metre arasında bir doğrulukta çalışmaktadır.Bu kural,kullanıcı faliyetlerinin sistem tarafından tahdit olarak tanımlanan bir ülkeden gerçekleştirildiğinin tespit edilmesi durumunda tetiklenir.Fp cihazın gps verilerini ve konum doğrulama mekanizmalarını analiz eder.Eğer oturum tahditli bir ülkeden gerçekleşmiş ise sistem bu aktiviteyi potansiyel risk olarak işaretler.(Tahditli ülkeden kasıt bankacılık uygulamasının faaliyette olduğu ülke dışında başka bir ülkeden kullanımı söz konusu ise gerçekleşen durumdur.)Sistem tahditli bir ülkeden gelen etkinliği her tespit ettiğinde tetiklenir.Bu kurallar, sistem tahditli veya yüksek riskli bir ülkeden aktivite tespit ettiğinde tetiklenir. Bu listenin içeriği tamamen her müşteri tarafından yönetilir, ancak tarafımızdan da bakımı yapılmaktadır.

1725 - Activity from high-risk country (GPS) (Android iOS Web)

Geolocation bilgisi cihazın gps bilgisi üzerinden temin edilmektedir.GPS'in doğruluğu kişinin bulunduğu alana göre değişiklik göstermektedir.Ortalama olarak 50 ile 100 metre arasında bir doğrulukta çalışmaktadır.Sistem yüksek tahditli bir ülkeden gelen etkinliği her tespit ettiğinde tetiklenir.

1726 - Activity outside origin country (GPS) (Android iOS Web)

Geolocation bilgisi cihazın gps bilgisi üzerinden temin edilmektedir.GPS'in doğruluğu kişinin bulunduğu alana göre değişiklik göstermektedir.Ortalama olarak 50 ile 100 metre arasında bir doğrulukta çalışmaktadır.Olay, sistem kullanıcının orijinal ülkesinin dışından gelen etkinliği her tespit ettiğinde tetiklenir.

1727 - Activity from unknown geolocation (GPS) (Android iOS Web)

Geolocation bilgisi cihazın gps bilgisi üzerinden temin edilmektedir.GPS'in doğruluğu kişinin bulunduğu alana göre değişiklik göstermektedir.Ortalama olarak 50 ile 100 metre arasında bir doğrulukta çalışmaktadır.Olay, sistem bilinmeyen bir coğrafi konumdan gelen etkinliği her tespit ettiğinde tetiklenir. How it works: checks if user's geolocation is not defined. Based on GPS data

1728 - Country IP doesnt match GPS location (Android iOS Web)

Geolocation bilgisi cihazın gps bilgisi üzerinden temin edilmektedir.GPS'in doğruluğu kişinin bulunduğu alana göre değişiklik göstermektedir.Ortalama olarak 50 ile 100 metre arasında bir doğrulukta çalışmaktadır.Olay, sistem IP adresi ile coğrafi konum arasında ülke uyumsuzluğu her tespit ettiğinde tetiklenir.

1733 - Not unique date of installation, more than N devices (Android)

"Cihazların işletim sistemi tarafından raporlanan kurulum /tarih bilgisinin aynı değer olarak birden fazla cihaz kimliğinde( DeviceId-Devicefingerprint)ortaya çıkması halinde tetiklenir.Normal koşullarda her fiziksel cihazın kurulum tarihi bensersiz veya hetorejen olur.Aynı kurulum tarihinin n adetten fazla olması şu şüpheleri doğurur:

• Otomatik ve ölçekli kötü amaçlı kurulum(bothfarm)
• Cihaz imajının birden çok cihaza klonlanması
• Emulator veya sanal cihaz kullanımı
• Cihaz saatinin /manipülasyonunun eş zamanlı olması ile oluşturulan sahte kayıtlar Bu kontrol tek başına yeterli değildir;ancak diğer sinyaller (ip,gps tutarsızlığı,device fingerprint eşleşmesi vb)ile birleştirildiğinde yüksek riskli bir durum oluşturur."

1801 - Android: Customer origin application downloaded from a non-legitimate source (Android)

Android cihazdaki müşteri orijinli uygulamanın, Google veya Huawei Mağazası dışındaki bir kaynaktan indirildiği durumlarda tetiklenir.Bunların dışında telefon üreticilerinin kendi resmi uygulama mağazaları dışındada indirilmiş ise tetiklenmektedir.

2519 - Android: A variation of Inattv is installed. (Android)

Uygulama bilinmeyen bir kaynaktan indirilmişse, kara liste içerisinde yer alıyorsa veya regex ile sistemi atlatmaya yönelik bir desen (pattern) içeriyorsa, 2519 kuralı tetiklenecektir. Uygulamaları beyaz liste (whitelist) ve kara liste (blocklist) yöntemleriyle sınıflandırarak çalışır ve bilinmeyen kaynaklardan yüklenen uygulamaları denetler. Ayrıca, belirli isim kalıpları (regex) üzerinden de tespit yapabilir.

3228 - Android: Application from an non-legitimate source has access to read sms. (Android)

Bu kural, resmi olmayan bir kaynaktan yüklenen bir uygulamanın sms okuma veya alma yetkisine sahip olması durumunda tetiklenir.

4105 – Crocodilus malware detection by issuer (Android)

Crocodilus malware ailesini geliştiren kişi veya grupların bilinen imzaları cihazdaki bir uygulamada tespit edilirse, bu kural tetiklenir.

4410 - Android: Application from an non-legitimate source has access to NFC (Android)

Bildiğiniz gibi NFC erişimi ile uygulamalar temassız ödeme yapabilir. Uygulama şüpheli ise, bilgi sızdırmak veya yetkisiz ödeme yapmak için her türlü saldırıyı gerçekleştirebilir;

ödemelerde sahte bağlantılar kullanma,

farklı ödeme noktalarına yönlendirme,

hassas bilgileri kopyalayıp üçüncü taraf bir sunucuya/ortağa gönderme.

Doğrudan ödeme yapabilme yeteneği nedeniyle bu alarmın önemi yüksektir.

Bankanın EFMS sistemi aynı oturumda bu alarmı bir işlemle birlikte görürse, işlemi engellemesi ve kullanıcıyı ilgili uygulama hakkında bilgilendirmesi kuvvetle tavsiye edilir.

Kuralın kendisi zaten yüksek düzeyde tehdit gösteriyor; lütfen bunu not edin. Ayrıca bu kural, 4410 + 210 (Android: Erişilebilirlik servisi) veya 4410 + 328 (Android: overlay/üst üste bindirme aktivitesi) ile kombinasyon halinde de kullanılabilir.

4118 – Auto-Generated Android Package Name Detected (Android)

Android uygulamalarının paket adları normalde com. / org. gibi ön eklerle başlar. Bu kural, uygulama adı genel uygulama paketleme standartlarına uymadığında tetiklenir.