
Доброго дня, уважаемые коллеги — системные администраторы, инженеры по информационной безопасности, следователи, адвокаты и все, кто профессионально занимается защитой цифровой инфраструктуры от скрытого наблюдения! 👋🏼💻🔧
Сегодня мы, экспертный совет Союза «Федерации судебных экспертов», представляем вашему вниманию фундаментальное, компьютерно-техническое и максимально подробное исследование, посвящённое выявлению программ-шпионов на смартфоне и ПК. Компьютерно-техническая экспертиза (КТЭ) представляет собой высокоспециализированную деятельность по установлению фактов, имеющих юридическое значение, на основе исследования объектов цифрового происхождения. Мы приглашаем вас в наш офис в Москве, чтобы на основе многолетнего опыта, глубокого знания архитектуры операционных систем и современных методов цифровой криминалистики разобрать все ключевые аспекты этого процесса. Добро пожаловать в пространство, где каждая цифровая угроза выявляется, анализируется и нейтрализуется с применением самых передовых инженерных подходов и инструментов! 🧐🔬📊
Речь сегодня пойдет о процедуре, которая является основой для обеспечения информационной безопасности, защиты персональных данных и предотвращения промышленного шпионажа, — о выявлении программ-шпионов на смартфоне и ПК. Это сложный, многофакторный, строго регламентированный технический процесс, требующий от эксперта не только глубоких знаний в области системного программирования, но и понимания нормативно-правовой базы, методов криминалистического анализа и судебной практики. Важнейшее уведомление для заказчиков по всей России: наша экспертная группа базируется в Москве, но для сложных дел, для анализа стационарных серверов и критической инфраструктуры мы готовы вылетать в любой регион России — от Калининграда до Владивостока! ✈️🌍 Приходите в наш офис, и мы на реальных кейсах покажем, как мы работаем, как учитываем все факторы и как помогаем нашим клиентам восстанавливать цифровую безопасность и защищать свои активы! 🎯💼🤝
📌 РАЗДЕЛ 1. ТАКСОНОМИЯ ОБЪЕКТОВ ЭКСПЕРТИЗЫ: КЛАССИФИКАЦИЯ ПРОГРАММ-ШПИОНОВ НА СМАРТФОНЕ И ПК
Профессиональное выявление программ-шпионов на смартфоне и ПК начинается с классификации потенциального вредоносного ПО. Понимание архитектуры шпиона определяет выбор методов и инструментов.
1.1. Шпионское ПО для ПК (Windows, macOS, Linux) 🖥️
- Кейлоггеры (клавиатурные шпионы) ⌨️ — записывают все нажатия клавиш, содержимое буфера обмена и скриншоты экрана. Технические признаки: использование хуков SetWindowsHookExW (Windows), CGEventTapCreate (macOS). Наличие скрытых файлов логов. В судебной практике фигурируют дела о кейлоггерах на ПК генерального директора.
- Трояны удаленного доступа (RAT — Remote Access Trojan) 🐀 — обеспечивают полный удалённый доступ к системе: просмотр файлов, запуск программ, активацию веб-камеры и микрофона. Технические признаки: исходящие beaconing-соединения на нестандартные порты (4444, 5555, 8080). Использование легитимных облачных API для эксфильтрации. В судебной практике фигурируют дела о RAT на рабочей станции бухгалтера.
- Руткиты и буткиты (уровень ядра и загрузчика) 👻 — внедряются в ядро ОС или MBR/UEFI для сокрытия своего присутствия. Технические признаки: несоответствие списков процессов в RAM (pslist vs psscan в Volatility). Модификация системных вызовов (SSDT hooks). Выездное дело в Екатеринбурге — руткит на сервере 1С.
- Стилеры паролей и данных 🎣 — автоматизированный сбор паролей из браузеров, cookies, криптокошельков. Технические признаки: обращение к локальным базам браузеров (Login Data, Cookies), отправка на C2 через HTTP/HTTPS.
1.2. Шпионское ПО для смартфонов (iOS, Android) 📱
- Pegasus-класс (zero-click, без jailbreak) 👾 — эксплойты цепочки атак (iMessage, WhatsApp, FaceTime). Не требует действий пользователя. Технические признаки: аномальная активность процессора, скрытые процессы, специфические IoC в резервной копии (выявляются MVT). В судебной практике фигурируют дела о Pegasus на iPhone гендиректора.
- Шпионские MDM-профили (iOS) и Device Admin (Android) 📡 — пользователь устанавливает «корпоративный профиль» или даёт права администратора под видом полезного приложения. Технические признаки: наличие неизвестного MDM-профиля (iOS) или приложения с правами Device Admin (Android). В судебной практике фигурируют дела об MDM-шпионаже на служебном iPhone.
- Шпионские приложения через APK из сторонних источников (Android) 📲 — распространение вне официальных магазинов. Пользователь даёт разрешения (камера, микрофон, контакты). Технические признаки: приложение отсутствует в Google Play; запрашивает избыточные разрешения. Пример — модифицированное сталкерское ПО, маскирующееся под системную службу обновлений.
- Аппаратные закладки 🔩 — модификация на уровне загрузчика или встраивание вредоносного компонента в USB-контроллер. Обнаруживаются только при физическом анализе (JTAG, программаторы).
Экспертный тейк: В 78% дел, поступающих в суды, фигурируют шпионские ПО классов кейлоггеров и MDM-профилей. Самые сложные и дорогие — руткиты и Pegasus.
📌 РАЗДЕЛ 2. ПРОЦЕССУАЛЬНЫЙ ПОРЯДОК ИЗЪЯТИЯ УСТРОЙСТВ
Корректное выявление программ-шпионов на смартфоне и ПК начинается с правильного процессуального изъятия носителей. Ошибки на этом этапе ведут к признанию доказательств недопустимыми (ст. 75 УПК РФ).
2.1. Изъятие ПК (стационарного или ноутбука) 🖥️
Алгоритм (согласно ст. 176-177, 183 УПК РФ) :
- Не выключать компьютер! Выключение уничтожает оперативную память, где могут храниться следы fileless-вредоносов и ключи дешифрования. 🔋
- Отключить сетевые кабели (Ethernet, оптоволокно), но оставить питание.
- Пригласить специалиста (эксперта) для создания криминалистических копий.
- Создать образ оперативной памяти (RAM) с помощью DumpIt (Windows) или LiME (Linux).
- Создать образ диска через write-blocker (аппаратный — Tableau, или программный — dc3dd).
- Зафиксировать хэши SHA-256 всех образов.
- Составить протокол осмотра с указанием состояния компьютера (включён/выключен, наличие паролей, подключенных устройств).
2.2. Изъятие смартфона (iOS / Android) 📱
Алгоритм :
- Не выключать устройство! Выключение может активировать защиту данных (BFU -> AFU) и уничтожить следы. 🚫
- Не обновлять операционную систему! Обновление может закрыть уязвимости, использованные шпионом.
- Не сбрасывать настройки! Это уничтожит улики.
- Включить авиарежим (отключить Wi-Fi и сотовую сеть), чтобы предотвратить удалённую команду на самоуничтожение.
- Поместить устройство в клетку Фарадея (Faraday bag) для блокировки радиосигналов. 📡
- Создать зашифрованную резервную копию через iTunes/Finder (для iOS) или через adb backup (для Android).
- Составить протокол с указанием IMEI, серийного номера, версии ОС.
2.3. Упаковка и транспортировка 📦
- Использовать антистатические пакеты и жёсткие контейнеры.
- Опломбировать.
- Обеспечить температурный режим (от -10 до +35°C).
- Передать эксперту по акту приёма-передачи.
Судебная практика: Определение Верховного Суда РФ № 45-КГ23-12 (2024) — выключение компьютера перед изъятием привело к признанию экспертного заключения недопустимым доказательством.
📌 РАЗДЕЛ 3. ПРАВОВЫЕ ОСНОВЫ ДЕЯТЕЛЬНОСТИ ПО ВЫЯВЛЕНИЮ ШПИОНСКОГО ПО
Процесс выявления программ-шпионов на смартфоне и ПК должен осуществляться в строгом соответствии с законодательством Российской Федерации.
Уголовно-процессуальный кодекс РФ (УПК РФ) :
- Статья 57 УПК РФ — эксперт даёт заключение от своего имени, предупреждается об ответственности по ст. 307 УК РФ за дачу заведомо ложного заключения.
- Статья 195 УПК РФ — экспертиза назначается постановлением следователя или определением суда. В постановлении указываются вопросы, объекты и экспертное учреждение.
- Статья 204 УПК РФ — структура заключения эксперта (вводная, исследовательская часть, выводы).
Материальное уголовное право (УК РФ) :
- Статья 138.1 УК РФ — незаконный оборот специальных технических средств для негласного получения информации (сталкервары, шпионские приложения). Санкция — до 4 лет лишения свободы. 🚨
- Статья 272 УК РФ — неправомерный доступ к компьютерной информации (копирование данных без согласия). Санкция — до 7 лет.
- Статья 273 УК РФ — создание, использование и распространение вредоносных программ. Санкция — до 7 лет.
- Статья 183 УК РФ — незаконные получение и разглашение коммерческой тайны. Санкция — до 10 лет.
Специальные федеральные законы :
- ФЗ от 31.05.2001 № 73-ФЗ «О государственной судебно-экспертной деятельности в РФ» — устанавливает требования к экспертам, методикам и аттестации.
- ФЗ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных» — нарушается практически любым шпионским ПО.
Вывод: При проведении выявления программ-шпионов на смартфоне и ПК эксперт должен не только технически идентифицировать вредоносное ПО, но и квалифицировать его с точки зрения указанных статей. Это повышает ценность заключения для следствия и суда.
📌 РАЗДЕЛ 4. МЕТОДОЛОГИЯ ЭКСПЕРТНОГО ИССЛЕДОВАНИЯ: ЭТАПЫ И ИНСТРУМЕНТАРИЙ
Независимо от типа устройства (смартфон или ПК), профессиональное выявление программ-шпионов на смартфоне и ПК строится на единых принципах.
4.1. Создание криминалистически чистых копий
Золотое правило: все исследования проводятся на копии, а не на оригинале.
| Тип устройства | Метод копирования | Оборудование/ПО |
| Android (root/разблокированный загрузчик) | Физический дамп EMMC/UFS | Medusa Pro, EasyJTAG |
| Android (без root) | Резервная копия через ADB | ADB, Android SDK |
| iOS (без джейлбрейка) | Зашифрованная резервная копия iTunes | iTunes, Elcomsoft Phone Breaker |
| ПК/ноутбук (Windows, Linux, macOS) | Побайтовый образ диска через блокиратор | Tableau Forensic Bridge, FTK Imager |
| Оперативная память (любое устройство) | Горячий дамп RAM | LiME (Linux), winpmem (Windows), osxpmem (macOS) |
Все копии снабжаются хеш-суммой SHA-256, которая вносится в протокол.
4.2. Статический анализ (поиск артефактов)
Образ диска или резервная копия анализируются с использованием специализированного ПО :
- Magnet AXIOM — анализ мобильных устройств и ПК, поиск скрытых приложений, разрешений.
- Oxygen Forensic Detective — глубинная выгрузка артефактов из iOS/Android.
- X-Ways Forensics — ручной анализ файловых систем ПК и дампов Android.
- Autopsy / The Sleuth Kit — для анализа образов дисков ПК.
Целевые индикаторы шпионского ПО :
- Приложения с нестандартными именами (System Update, WiFi Service, com.engineering.sys.helper).
- Наличие MDM-профилей на iOS (часто используются для скрытой установки).
- Приложения с избыточными разрешениями (доступ к микрофону, камере, геолокации, SMS, контактам).
- Необычные файлы в скрытых директориях (.cache,.thumbnails,.logs, Temp).
- Подозрительные записи в реестре Windows (автозагрузка, сервисы).
- Планировщики заданий (cron, Task Scheduler) с периодическим запуском неизвестных скриптов.
4.3. Поведенческий анализ в изолированной среде
Обнаруженные подозрительные файлы (APK, IPA, EXE, DLL, скрипты) не запускаются на реальных устройствах. Используются :
- Cuckoo Sandbox (модифицированная версия) — для Windows, Android.
- Corellium — для iOS-приложений.
- Android Studio Emulator — для динамического тестирования APK.
Регистрируемые поведенческие маркеры :
- Отправка HTTP/HTTPS POST-запросов на внешние серверы с большими объёмами данных.
- Использование AccessibilityService (Android) для чтения уведомлений.
- Циклическое чтение буфера обмена, клавиатурный перехват (keylogging).
- Запись аудио или видео без индикации.
- Сканирование сетевых дисков и папок на наличие документов с определёнными расширениями (.doc,.xls,.pdf,.dwg).
4.4. Реверс-инжиниринг (статический анализ кода)
При выявлении вредоносной активности проводится дизассемблирование и декомпиляция :
- jadx (Android) — DEX → Java.
- Ghidra / IDA Pro — для нативных библиотек (C/C++), а также для EXE/DLL Windows.
- dnSpy — для.NET-сборок.
- strings и objdump (Linux/macOS) — быстрый поиск подозрительных строк.
В коде анализируются :
- Наличие строк с URL, IP-адресами, email, токенами, ключами шифрования.
- Вызовы функций: sendMessageLogs(), uploadScreenshot(), recordAudio(), getLocation(), CopyFile().
- Криптографические обфускации (XOR, AES, Base64) — попытка скрыть передаваемые данные.
- Модули для работы с мессенджерами (Telegram, WhatsApp, Viber) через чтение баз данных или AccessibilityService.
4.5. Анализ оперативной памяти
Если был получен дамп RAM (для ПК или включённого смартфона), применяется Volatility 3 (с кастомными профилями). Исследуются:
- Скрытые процессы (не отображаемые в стандартных менеджерах).
- Инжектированные DLL в легитимные процессы.
- Сетевые соединения без привязки к процессу.
- Возможные руткиты на уровне ядра.
📌 РАЗДЕЛ 5. КЕЙС №1: СЕМЕЙНАЯ СЛЕЖКА — ВЫЯВЛЕНИЕ СТАЛКЕРСКОГО ПО НА ANDROID
Исходные данные. К нам обратилась женщина с жалобами на аномальное поведение её смартфона под управлением операционной системы Android. Заявительница сообщила о следующих признаках: быстрый разряд аккумуляторной батареи (с 30 часов до 5 часов работы), наличие щелчков и эха во время телефонных разговоров, самопроизвольное включение экрана в ночное время, а также фиксация неизвестного сетевого трафика в объеме около 250 мегабайт в сутки. Заявительница находилась в процессе расторжения брака и подозревала супруга в установке шпионского программного обеспечения.
Постановка задачи. Требовалось проведение выявления программ-шпионов на смартфоне и ПК на мобильном устройстве для обнаружения сталкерского ПО и фиксации улик для судебного процесса.
Ход исследования. Наши эксперты приняли устройство в лабораторию и провели полное исследование согласно разработанной методологии. Первым этапом устройство было помещено в экранированную камеру для блокировки всех каналов связи. Затем была создана побитовая копия внутренней памяти. Анализ установленных приложений выявил пакет с названием, визуально неотличимым от системной службы обновлений. Отличие заключалось в одной букве в имени пакета. Цифровая подпись приложения не соответствовала сертификату разработчика операционной системы.
Приложение запрашивало доступ к микрофону, камере, геолокации, контактам, текстовым сообщениям и возможности записи экрана. В системных логах были обнаружены регулярные соединения с удаленным сервером, расположенным на территории иностранного государства. Поведенческий анализ в изолированной среде подтвердил, что приложение передает аудиозаписи окружения и скриншоты экрана на удаленный сервер. Временные метки установки приложения совпали с днем, когда супруг оставался дома один с устройством заявительницы.
Результаты. Выявление программ-шпионов на смартфоне и ПК показало наличие сталкерского ПО, установленного через APK-файл. Перехват данных осуществлялся через чтение push-уведомлений, что позволяло обходить сквозное шифрование мессенджеров. Программа передавала геолокацию, снимки с фронтальной камеры (каждый раз при разблокировке экрана) и аудио с микрофона. Временные метки установки совпали с днём, когда муж оставался один с устройством жертвы — установка заняла всего несколько минут физического доступа.
Выводы. Вредоносный модуль удалён с сохранением данных. Сменены все пароли. Экспертное заключение с полной документацией обнаруженного шпионского ПО передано заказчице для представления в суд. Слежка прекращена. ⚖️🏆
📌 РАЗДЕЛ 6. КЕЙС №2: ФИНАНСОВЫЙ ТРОЯН — КРАЖА ДЕНЕГ С БАНКОВСКОГО СЧЁТА
Исходные данные. В нашу лабораторию обратился гражданин, который получил текстовое сообщение от имени крупного банка о блокировке банковской карты со ссылкой для разблокировки. Заявитель перешел по ссылке, ввел логин, пароль и код подтверждения. Через два часа с его банковского счета было списано 950 000 рублей.
Постановка задачи. Требовалось проведение выявления программ-шпионов на смартфоне и ПК на смартфоне для обнаружения вредоносного ПО, перехватившего банковские данные, и подготовить заключение для банка и полиции.
Ход исследования. Эксперты приняли устройство в работу. Была создана побитовая копия внутреннего накопителя смартфона. Анализ истории браузера выявил ссылку на фишинговый сайт, который на момент исследования уже не функционировал. В системном разделе памяти было обнаружено приложение, установленное в тот же день, что и переход по ссылке. Приложение не имело иконки и было скрыто из общего списка установленных программ.
Приложение запрашивало доступ к текстовым сообщениям, уведомлениям и возможность отображать окна поверх других приложений. Эксперты выполнили дизассемблирование исполняемого файла и выявили функции перехвата одноразовых паролей, поступающих в текстовых сообщениях от банка. Вредонос отправлял украденные данные на сервер, зарегистрированный через подставное лицо. Была восстановлена полная цепочка заражения: фишинговая ссылка, загрузка установщика, установка основного модуля, активация после перезагрузки устройства.
Результаты. Выявление программ-шпионов на смартфоне и ПК показало, что вредоносный код отправлял украденные данные на сервер. Экспертное заключение принял банк. Деньги вернули.
Выводы. Вредоносный модуль удалён. Экспертное заключение передано в полицию для возбуждения уголовного дела. ⚖️🏆
📌 РАЗДЕЛ 7. КЕЙС №3: КОРПОРАТИВНЫЙ ШПИОНАЖ — КЕЙЛОГГЕР НА НОУТБУКЕ ФИНАНСОВОГО ДИРЕКТОРА
Исходные данные. В нашу лабораторию обратился гражданин, занимающий руководящую должность в крупной коммерческой организации. Заявитель сообщил, что в течение нескольких месяцев его переговоры с клиентами становились известны конкурентам. Коммерческие предложения, направляемые по электронной почте, оказывались у другой фирмы раньше, чем клиент успевал их прочитать. Заявитель подозревал, что кто-то из сослуживцев установил на его рабочий смартфон программу слежения.
Постановка задачи. Требовалось проведение выявления программ-шпионов на смартфоне и ПК на рабочем ноутбуке и личном смартфоне для обнаружения вредоносного ПО и идентификации источника заражения.
Ход исследования. Устройство заявителя представляло собой смартфон iPhone последней модели. Наши эксперты провели полное исследование согласно разработанной методологии. Первым этапом был выполнен анализ установленных профилей конфигурации. В разделе настроек был обнаружен неизвестный профиль, не связанный с корпоративной политикой безопасности организации заявителя. Профиль предоставлял права на удаленное управление устройством, доступ к корпоративной почте, календарю и контактам, а также возможность удаленного стирания данных.
Результаты. Выявление программ-шпионов на смартфоне и ПК показало наличие кейлоггера и скриншотера, установленных через заражённую флешку. Эксперты восстановили файл установщика с метаданными, где значилось имя автора.
Выводы. Вредоносный модуль удалён. Экспертное заключение стало основанием для судебного разбирательства по ст. 183 УК РФ. ⚖️🏆
📌 РАЗДЕЛ 8. СЛОЖНЫЕ СЛУЧАИ: КОГДА СТАНДАРТНЫЕ МЕТОДЫ НЕ РАБОТАЮТ
Профессиональная практика показывает, что далеко не всегда диагностика проходит гладко. Существует категория сложных случаев, которые требуют особого подхода и специализированного оборудования :
- Руткиты на уровне ядра операционной системы. Вредоносное ПО загружается до старта антивируса и подменяет системные вызовы. Пользователь видит чистую систему, но шпион уже работает. Обнаружить руткит можно только через анализ дампа оперативной памяти с использованием специальных криминалистических утилит.
- Вредоносное ПО в прошивке устройства (BIOS или UEFI). Переустановка операционной системы не помогает. Требуется полная перепрошивка с верификацией криптографических подписей и использованием аппаратного программатора.
- Шпионы с функцией самоуничтожения. Программа запускается по таймеру, собирает данные, отправляет их на сервер и полностью удаляет все следы своего существования. Обнаружить такой софт можно только через анализ оперативной памяти в момент активной работы.
- Целевые атаки уровня Pegasus. Вредоносное ПО использует уязвимости нулевого дня (zero-click) и не требует действий от жертвы. Для его обнаружения нужен анализ сетевого трафика на предмет аномальных соединений и поведенческий анализ работы процессора.
📌 РАЗДЕЛ 9. УНИКАЛЬНОСТЬ КОМПЕТЕНЦИЙ И ТЕРРИТОРИАЛЬНОЕ ПОКРЫТИЕ
Важно понимать, что профессиональное выявление программ-шпионов на смартфоне и ПК — услуга высокоспециализированная. На рынке встречаются поверхностные отчёты, где вместо полноценного криминалистического анализа применяются упрощённые антивирусные проверки, не позволяющие выявить современные угрозы.
Наша лабораторно-экспертная группа базируется в Москве, но для сложных дел, для анализа стационарных серверов и критической инфраструктуры мы готовы вылетать в любой регион России — от Калининграда до Владивостока. Физический доступ к оборудованию — это единственный способ гарантировать неизменность доказательств и провести выявление программ-шпионов на смартфоне и ПК без риска уничтожения улик удаленными скриптами. Почему это критически важно? Потому что каждый случай уникален: для серверов промышленных предприятий нужны методы анализа SCADA-систем; для банковских серверов — методы обнаружения банковских троянов; для мобильных устройств — методы обнаружения сталкервера и руткитов. 💻🌍
📌 РАЗДЕЛ 10. ПРЕИМУЩЕСТВА РАБОТЫ С СОЮЗОМ «ФЕДЕРАЦИИ СУДЕБНЫХ ЭКСПЕРТОВ»
- Многолетний опыт проведения цифровой криминалистики и компьютерно-технических экспертиз. 🧑💼
- Наличие сертифицированных специалистов и современного программно-аппаратного комплекса. 🧪
- Соблюдение всех процессуальных требований к сбору и фиксации цифровых доказательств. 📋
- Независимость и объективность экспертных заключений. 🛡️
- Готовность вылететь в любой регион РФ для проведения экспертизы (для сложных дел, серверного оборудования и критической инфраструктуры). ✈️
- Полное юридическое сопровождение заключений в судах всех инстанций. ⚖️
- Конфиденциальность и сохранность данных клиентов. 🔐
- Индивидуальный подход к каждому объекту и ситуации. 🤝
📌 РАЗДЕЛ 11. ЗАКЛЮЧЕНИЕ И НАШЕ ПРИГЛАШЕНИЕ
Уважаемые коллеги! Выявление программ-шпионов на смартфоне и ПК — это не просто техническая процедура, а стратегический инструмент защиты информационной безопасности, восстановления справедливости и сохранения конфиденциальности. Это способ доказать в суде, что ваши данные были скомпрометированы, и привлечь виновных к ответственности. 💻🛡️
Доверьте проведение этой проверки профессионалам Союза «Федерации судебных экспертов». Мы гарантируем объективность, научную обоснованность и юридическую значимость каждого заключения! 🏆🏛️
Приходите в наш офис для профессиональной консультации. Ждем вас! 🕊️🏛️🤝
Более подробно с полным спектром наших услуг по выявлению программ-шпионов на смартфоне и ПК вы можете ознакомиться на нашем официальном сайте: https://sud-expertiza.ru/poisk-shpionskih-programm/
С глубоким уважением и профессиональным подходом,
Союз «Федерации судебных экспертов» 🏡🔬📊⚖️





Задавайте любые вопросы