🟩 Поиск незаконно установленных программ слежения: деловая методология диагностики, процессуальной фиксации и судебной квалификации
Введение: постановка деловой задачи
В современных условиях цифровизации всех сфер экономической и личной деятельности, проблема несанкционированного доступа к информации с использованием специализированного программного обеспечения приобретает системный характер. Шпионское программное обеспечение представляет собой вредоносный код, предназначенный для скрытого функционирования на устройстве пользователя с целью сбора конфиденциальных данных, включая логины, пароли, банковские реквизиты и коммерческую тайну.
Деловая задача поиска незаконно установленных программ слежения формулируется следующим образом: проведение полного исследования цифровых устройств с целью обнаружения, идентификации и документирования вредоносного кода, его последующее удаление с сохранением пользовательских данных, а также фиксация улик в форме, пригодной для передачи в правоохранительные органы и использования в судебных процессах. Настоящая статья представляет собой систематизированное деловое руководство по поиску незаконно установленных программ слежения, основанное на методологии цифровой криминалистики, процессуальных нормах и реальной экспертной практике. 📋
🟩 Раздел 1. Типология деловых сценариев несанкционированного цифрового мониторинга
В экспертной практике выделяются четыре основные категории обращений, каждая из которых имеет специфические методологические особенности и требует особого подхода в рамках поиска незаконно установленных программ слежения.
1.1. Семейный цифровой контроль 👨👩👦
В данном сценарии один супруг подозревает другого в неверности и без получения информированного согласия устанавливает на его смартфон или персональный компьютер программу слежения. Мотивами выступают ревность, желание тотального контроля или патологическая подозрительность. Устройствами-жертвами чаще всего становятся смартфоны на базе Android и домашние персональные компьютеры.
1.2. Финансовое мошенничество с использованием фишинга 💰
Пользователь переходит по подозрительной ссылке, полученной через текстовое сообщение или электронную почту. После перехода на его компьютер или смартфон загружается вредоносная программа, которая впоследствии снимает денежные средства с банковских счетов жертвы. Данный сценарий является одним из самых распространенных и экономически опасных. По данным исследовательской группы Kaspersky, в 2023 году более 42 000 пользователей столкнулись с подобными угрозами.
1.3. Корпоративный саботаж 🏢
Сотрудник становится жертвой сослуживцев, которые устанавливают на его рабочий смартфон или персональный компьютер программу слежения. Целями могут быть получение компрометирующей информации, перехват коммерческих предложений или акт вредительства.
1.4. Промышленный шпионаж 🔐
Предприниматель или владелец бизнеса становится объектом охоты со стороны конкурирующей фирмы. Конкуренты стремятся получить доступ к коммерческой тайне и для этого через нанятых агентов устанавливают незаконную программу отслеживания на устройства жертвы. В 2025 году эксперты «Лаборатории Касперского» зафиксировали использование коммерческого шпионского ПО Dante, созданного компанией Memento Labs, в атаках против российских СМИ, государственных учреждений и финансовых организаций. Атака использовала уязвимость нулевого дня в браузере Chrome.
🟩 Раздел 2. Таксономия угроз и механизмы функционирования программ слежения
С методологической точки зрения, программные средства нелегитимного мониторинга классифицируются по способу распространения, уровню привилегий, функциональному набору и стойкости к обнаружению. Данная классификация критически важна для эффективного поиска незаконно установленных программ слежения.
2.1. Классификация по функциональным возможностям 🎯
🔹 Кейлоггеры (Keyloggers) — модули, перехватывающие ввод с клавиатуры, включая логины, пароли, сообщения и поисковые запросы. Современные реализации используют accessibility-сервисы на Android или недокументированные API на iOS.
🔹 Трояны удаленного доступа (RAT) — обеспечивают полный контроль над устройством: активация камеры и микрофона, геолокация в реальном времени, извлечение файлов из облачных хранилищ, перехват сообщений из шифрованных мессенджеров.
🔹 Информационные сборщики (Data Harvesters) — специализируются на агрегации конкретных данных: история звонков и контакты, галерея изображений, история браузера, метаданные файлов.
🔹 Сталкерское ПО (Stalkerware) — коммерческие пакеты (mSpy, FlexiSPY), изначально разработанные для родительского контроля, но используемые для скрытого слежения. Часто имеют собственные механизмы сокрытия, включая скрытый значок и маскировку под системные процессы.
2.2. Классификация по методу инсталляции и персистенции 📥
- Эксплойты, использующие социальную инженерию — наиболее распространенный вектор. Вредоносное ПО маскируется под легитимные приложения и устанавливается самим пользователем в результате фишинговой атаки
- .
- Физический доступ к устройству — прямая установка злоумышленником, часто с предварительным получением прав суперпользователя на Android или использованием уязвимостей для джейлбрейка на iOS
- .
- · Атаки через цепочку поставок (supply-chain attacks) — компрометация легитимных приложений на этапе разработки или распространения.
2.3. Атаки государственного уровня 🏛️
Федеральная служба безопасности Российской Федерации вскрыла широкомасштабную акцию иностранных спецслужб по внедрению вредоносного программного обеспечения на мобильные средства связи высокопоставленных российских служащих. Вредоносное ПО используется для снятия данных, прослушивания переговоров, а также негласного акустического и видеоконтроля обстановки вблизи электронных устройств. По факту возбуждено уголовное дело по статьям 272 и 273 УК РФ.
🟩 Раздел 3. Методология профессионального поиска незаконно установленных программ слежения
Профессиональный поиск незаконно установленных программ слежения отличается от стандартной антивирусной проверки глубиной анализа и строгим соблюдением процессуальных норм. Методология основана на принципах цифровой криминалистики (digital forensics) и предполагает последовательное прохождение нескольких фаз.
Этап 1. Изоляция и сохранение цифровых доказательств (Preservation) 🛡️
Первостепенной задачей является сохранение целостности цифровых доказательств. Устройство помещается в экранирующую камеру Фарадея для блокировки всех радиоканалов (GSM/4G/5G, Wi-Fi, Bluetooth, NFC). Это предотвращает дистанционную команду на удаление данных или активацию функции самоочистки (remote wipe). Осуществляется документальная фиксация физического состояния устройства и создание физического дампа (bit-for-bit copy) памяти с использованием аппаратно-программных комплексов (Cellebrite UFED, Magnet AXIOM).
Этап 2. Статический анализ (Examination) 🔎
Работа ведется с полученным образом памяти, что исключает изменение оригинальных данных. Направления анализа включают:
- Восстановление файловой структуры — построение полного дерева файлов, включая данные предустановленных и пользовательских приложений.
- Сравнение хэш-сумм — выявление несоответствий в системных библиотеках и исполняемых файлах, указывающих на внедрение руткита.
- Анализ метаданных и артефактов — исследование журналов системных событий (logcat), истории сетевых подключений, записей календаря, базы данных SMS/MMS.
- Поиск индикаторов компрометации (IoC) — выявление известных сигнатур, доменных имен командных серверов (C&C), характерных строк в коде или имен файлов.
Этап 3. Поведенческий анализ в изолированной среде (песочнице) 🏜️
Воссоздание критических участков файловой системы и регистровых ключей для запуска подозрительных процессов. Мониторинг системных вызовов (syscalls), создания новых процессов, попыток доступа к чувствительным данным и установки сетевых соединений.
Этап 4. Анализ оперативной памяти (RAM Forensics) 🧬
Современные шпионские программы часто работают бесфайлово и никогда не записываются на диск. Получение дампа RAM через WinPMEM, DumpIt или FTK Imager Live, последующий анализ с помощью Volatility 3 для выявления инжектов в легитимные процессы, аномальных DLL и активных сетевых соединений на нестандартные порты.
Этап 5. Сетевой анализ и выявление каналов управления (C&C) 📡
Любая шпионская программа нуждается в управляющем сервере и канале эксфильтрации данных. Анализируются PCAP-логи сетевого оборудования, DNS-логи, логи прокси и межсетевых экранов. Выявляются подозрительные домены (DGA), нестандартные порты, геолокация серверов. Используются Wireshark, NetworkMiner, Suricata с правилами ET PRO, JA3/JA3S — отпечатки TLS-рукопожатий.
🟩 Раздел 4. Реальные кейсы из экспертной практики
Рассмотрим несколько реальных сценариев, демонстрирующих различные варианты проникновения шпионских программ на ПК, смартфоны и планшеты, а также методологию их обнаружения в рамках профессионального поиска незаконно установленных программ слежения.
📍 Кейс №1: Семейная слежка на устройстве Android 📱
Ситуация: В лабораторию обратилась гражданка с жалобами на аномальное поведение смартфона: быстрый разряд аккумуляторной батареи (с 30 часов до 5 часов работы), наличие щелчков и эха во время телефонных разговоров, самопроизвольное включение экрана в ночное время, фиксация неизвестного сетевого трафика около 250 МБ в сутки. Заявительница находилась в процессе расторжения брака и подозревала супруга в установке шпионского ПО.
Вектор проникновения: Физический доступ к устройству. Приложение маскировалось под системную службу обновлений, отличие заключалось в одной букве в имени пакета. Цифровая подпись не соответствовала сертификату разработчика.
Методология: Устройство помещено в экранирующую камеру. Создана побитовая копия внутренней памяти. Поиск незаконно установленных программ слежения выявил подозрительный пакет, запрашивавший доступ к микрофону, камере, геолокации, контактам, SMS и записи экрана. В системных логах обнаружены регулярные соединения с удаленным сервером. Поведенческий анализ подтвердил передачу аудиозаписей и скриншотов.
Результат: Вредоносный пакет удален. Составлено экспертное заключение, использованное в судебном процессе. Супруг признал факт установки шпионского ПО.
📍 Кейс №2: Финансовый троян после фишинговой атаки 💸
Ситуация: Гражданин получил SMS от имени крупного банка с информацией о блокировке карты и ссылкой для разблокировки. Перешел по ссылке, ввел логин, пароль и код подтверждения. Через два часа с его счета списано 950 000 рублей.
Вектор проникновения: Фишинговая ссылка вела на поддельный сайт, визуально копировавший официальный портал банка. После ввода данных на устройство загружен банковский троян, скрытый из общего списка установленных программ.
Методология: Создана побитовая копия внутреннего накопителя. Анализ истории браузера выявил ссылку на фишинговый сайт. В системном разделе памяти обнаружено приложение, установленное в день перехода по ссылке, без иконки. Приложение запрашивало доступ к SMS, уведомлениям и возможность отображать окна поверх других приложений. Дизассемблирование выявило функции перехвата одноразовых паролей из SMS от банка.
Результат: Вредоносный модуль удален. Экспертное заключение передано в правоохранительные органы и использовано в банке для запуска процедуры страхового возмещения.
📍 Кейс №3: Корпоративный шпионаж среди сослуживцев 🏢
Ситуация: Руководитель крупной коммерческой организации сообщил, что в течение нескольких месяцев его переговоры с клиентами становились известны конкурентам. Коммерческие предложения, направляемые по электронной почте, оказывались у другой фирмы раньше, чем клиент успевал их прочитать.
Вектор проникновения: На рабочий смартфон iPhone установлен неизвестный профиль конфигурации (MDM), предоставляющий права на удаленное управление устройством, доступ к корпоративной почте, календарю и контактам, а также возможность удаленного стирания данных.
Методология: Анализ установленных профилей конфигурации в разделе настроек выявил неизвестный профиль, не связанный с корпоративной политикой безопасности организации. Профиль был установлен через физический доступ к устройству.
Результат: Профиль удален. Проведено служебное расследование, установлен сотрудник, имевший физический доступ к устройству руководителя.
📍 Кейс №4: Целевая атака через уязвимость нулевого дня 🌐
Ситуация: В марте 2025 года эксперты «Лаборатории Касперского» зафиксировали операцию ForumTroll — целевую атаку против российских СМИ, государственных учреждений, научных и финансовых организаций. Злоумышленники использовали фишинговую рассылку, маскируя письма под приглашения на форум «Примаковские чтения».
Вектор проникновения: Атака использовала уязвимость нулевого дня CVE-2025-2783 в браузере Google Chrome. Достаточно было открыть вредоносную ссылку в браузере на базе Chromium — устройство заражалось без каких-либо дополнительных действий со стороны пользователя. Центральным элементом стал зловред LeetAgent с системой команд на языке Leet. В ходе анализа обнаружен новый вредонос, схожий по структуре с Dante — шпионской платформой итальянской компании Memento Labs.
Результат: Разработаны правила детекции, предотвращено дальнейшее распространение. Уголовное дело возбуждено по ст. 272 и 273 УК РФ.
🟩 Раздел 5. Процессуальные аспекты и юридическая квалификация
Важно понимать, что удаление шпионской программы без фиксации следов является уничтожением доказательств. Профессиональный поиск незаконно установленных программ слежения всегда включает процессуальное оформление, позволяющее использовать результаты в суде.
5.1. Правовое поле 📜
В российском законодательстве установка шпионского ПО без согласия пользователя подпадает под действие следующих статей:
- Статья 272 УК РФ — неправомерный доступ к компьютерной информации.
- Статья 273 УК РФ — создание, использование и распространение вредоносных компьютерных программ.
- Статья 138 УК РФ — нарушение тайны переписки, телефонных переговоров.
- Статья 183 УК РФ — незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну.
- Статья 138.1 УК РФ — незаконный оборот специальных технических средств, предназначенных для негласного получения информации.
5.2. Требования к судебной компьютерной экспертизе ⚖️
Чтобы заключение эксперта было принято судом, необходимо соблюдать:
- Федеральный закон № 73-ФЗ «О государственной судебно-экспертной деятельности в РФ».
- Процессуальные кодексы (АПК, ГПК, УПК) — требования к допустимости доказательств.
Ключевые принципы: неизменность объекта исследования (копирование на write-blocker), документирование каждого действия, возможность проверки результатов другим экспертом. Эксперт предупреждается об ответственности по статье 307 УК РФ за дачу заведомо ложного заключения.
5.3. Сравнительный анализ: профессиональная экспертиза vs потребительский антивирус 📊
| Критерий | Профессиональная экспертиза | Потребительский антивирус |
| Глубина доступа к данным | Физический дамп всей памяти, включая системные разделы и удаленные файлы | Ограниченный доступ в рамках sandbox приложения |
| Методы детектирования | Сигнатурный, эвристический, поведенческий анализ, исследование артефактов ОС | Преимущественно сигнатурный анализ |
| Обнаружение stalkerware | Высокая эффективность за счет анализа пакетов, прав доступа и журналов | Крайне низкая |
| Доказательная ценность | Формирование юридически значимого заключения | Отсутствует |
[Источник: на основе методологических рекомендаций, представленных в
]
🟩 Заключение: деловые выводы и практические рекомендации
На основании проведенного анализа методологических и процессуальных аспектов поиска незаконно установленных программ слежения, могут быть сформулированы следующие деловые выводы:
- Многоуровневый подход обязателен. Только комбинация статического, динамического и низкоуровневого анализа позволяет обнаружить современное шпионское ПО, использующее методы обфускации кода и легитимные сертификаты
- .
- Физический доступ — главный вектор атаки. Большинство сложных шпионских программ устанавливаются через физический доступ к устройству, что требует усиления мер физической безопасности
- .
- Процессуальная чистота критична. Результаты поиска незаконно установленных программ слежения приобретают юридическую силу только при соблюдении процессуальных норм: работа с битовыми копиями через write-blocker, фиксация хеш-сумм, документирование каждого шага
- .
- · Самостоятельное удаление уничтожает улики. Любые действия по удалению подозрительных файлов или переустановке системы до проведения экспертизы делают невозможным привлечение виновных к ответственности.
- Своевременность — ключевой фактор. Чем раньше проведен профессиональный поиск незаконно установленных программ слежения, тем выше шансы зафиксировать следы и предотвратить дальнейший ущерб.
При обнаружении признаков несанкционированного цифрового мониторинга (аномальный расход трафика, быстрая разрядка аккумулятора, эхо при разговорах, необъяснимые списания со счетов) рекомендуется незамедлительно обратиться к специалистам для проведения профессиональной диагностики.
Для получения профессиональной помощи в проведении независимой компьютерно-технической экспертизы и поиска незаконно установленных программ слежения на любых устройствах обращайтесь к нам. Подробная информация о методологии и процедуре доступна по ссылке: https://fedexpertiza.ru/poisk-programm-slezheniya/ 🔗

Задать вопрос экспертам