🟩 Поиск незаконно установленных программ слежения:  деловая методология диагностики, процессуальной фиксации и судебной квалификации

🟩 Поиск незаконно установленных программ слежения:  деловая методология диагностики, процессуальной фиксации и судебной квалификации

Введение:  постановка деловой задачи

В современных условиях цифровизации всех сфер экономической и личной деятельности, проблема несанкционированного доступа к информации с использованием специализированного программного обеспечения приобретает системный характер.  Шпионское программное обеспечение представляет собой вредоносный код, предназначенный для скрытого функционирования на устройстве пользователя с целью сбора конфиденциальных данных, включая логины, пароли, банковские реквизиты и коммерческую тайну.

Деловая задача поиска незаконно установленных программ слежения формулируется следующим образом:  проведение полного исследования цифровых устройств с целью обнаружения, идентификации и документирования вредоносного кода, его последующее удаление с сохранением пользовательских данных, а также фиксация улик в форме, пригодной для передачи в правоохранительные органы и использования в судебных процессах.  Настоящая статья представляет собой систематизированное деловое руководство по поиску незаконно установленных программ слежения, основанное на методологии цифровой криминалистики, процессуальных нормах и реальной экспертной практике.  📋

🟩 Раздел 1.  Типология деловых сценариев несанкционированного цифрового мониторинга

В экспертной практике выделяются четыре основные категории обращений, каждая из которых имеет специфические методологические особенности и требует особого подхода в рамках поиска незаконно установленных программ слежения.

1.1.  Семейный цифровой контроль 👨‍👩‍👦

В данном сценарии один супруг подозревает другого в неверности и без получения информированного согласия устанавливает на его смартфон или персональный компьютер программу слежения.  Мотивами выступают ревность, желание тотального контроля или патологическая подозрительность.  Устройствами-жертвами чаще всего становятся смартфоны на базе Android и домашние персональные компьютеры.

1.2.  Финансовое мошенничество с использованием фишинга 💰

Пользователь переходит по подозрительной ссылке, полученной через текстовое сообщение или электронную почту.  После перехода на его компьютер или смартфон загружается вредоносная программа, которая впоследствии снимает денежные средства с банковских счетов жертвы.  Данный сценарий является одним из самых распространенных и экономически опасных.  По данным исследовательской группы Kaspersky, в 2023 году более 42 000 пользователей столкнулись с подобными угрозами.

1.3.  Корпоративный саботаж 🏢

Сотрудник становится жертвой сослуживцев, которые устанавливают на его рабочий смартфон или персональный компьютер программу слежения.  Целями могут быть получение компрометирующей информации, перехват коммерческих предложений или акт вредительства.

1.4.  Промышленный шпионаж 🔐

Предприниматель или владелец бизнеса становится объектом охоты со стороны конкурирующей фирмы.  Конкуренты стремятся получить доступ к коммерческой тайне и для этого через нанятых агентов устанавливают незаконную программу отслеживания на устройства жертвы.  В 2025 году эксперты «Лаборатории Касперского» зафиксировали использование коммерческого шпионского ПО Dante, созданного компанией Memento Labs, в атаках против российских СМИ, государственных учреждений и финансовых организаций.  Атака использовала уязвимость нулевого дня в браузере Chrome.

🟩 Раздел 2.  Таксономия угроз и механизмы функционирования программ слежения

С методологической точки зрения, программные средства нелегитимного мониторинга классифицируются по способу распространения, уровню привилегий, функциональному набору и стойкости к обнаружению.  Данная классификация критически важна для эффективного поиска незаконно установленных программ слежения.

2.1.  Классификация по функциональным возможностям 🎯

🔹 Кейлоггеры  (Keyloggers)  — модули, перехватывающие ввод с клавиатуры, включая логины, пароли, сообщения и поисковые запросы.  Современные реализации используют accessibility-сервисы на Android или недокументированные API на iOS.

🔹 Трояны удаленного доступа  (RAT)  — обеспечивают полный контроль над устройством:  активация камеры и микрофона, геолокация в реальном времени, извлечение файлов из облачных хранилищ, перехват сообщений из шифрованных мессенджеров.

🔹 Информационные сборщики  (Data Harvesters)  — специализируются на агрегации конкретных данных:  история звонков и контакты, галерея изображений, история браузера, метаданные файлов.

🔹 Сталкерское ПО  (Stalkerware)  — коммерческие пакеты  (mSpy, FlexiSPY), изначально разработанные для родительского контроля, но используемые для скрытого слежения.  Часто имеют собственные механизмы сокрытия, включая скрытый значок и маскировку под системные процессы.

2.2.  Классификация по методу инсталляции и персистенции 📥

  • Эксплойты, использующие социальную инженерию  — наиболее распространенный вектор.  Вредоносное ПО маскируется под легитимные приложения и устанавливается самим пользователем в результате фишинговой атаки
  • .
  • Физический доступ к устройству — прямая установка злоумышленником, часто с предварительным получением прав суперпользователя на Android или использованием уязвимостей для джейлбрейка на iOS
  • .
  • ·  Атаки через цепочку поставок  (supply-chain attacks)  — компрометация легитимных приложений на этапе разработки или распространения.

2.3.  Атаки государственного уровня 🏛️

Федеральная служба безопасности Российской Федерации вскрыла широкомасштабную акцию иностранных спецслужб по внедрению вредоносного программного обеспечения на мобильные средства связи высокопоставленных российских служащих.  Вредоносное ПО используется для снятия данных, прослушивания переговоров, а также негласного акустического и видеоконтроля обстановки вблизи электронных устройств.  По факту возбуждено уголовное дело по статьям 272 и 273 УК РФ.

🟩 Раздел 3.  Методология профессионального поиска незаконно установленных программ слежения

Профессиональный поиск незаконно установленных программ слежения отличается от стандартной антивирусной проверки глубиной анализа и строгим соблюдением процессуальных норм.  Методология основана на принципах цифровой криминалистики  (digital forensics) и предполагает последовательное прохождение нескольких фаз.

Этап 1.  Изоляция и сохранение цифровых доказательств  (Preservation) 🛡️

Первостепенной задачей является сохранение целостности цифровых доказательств.  Устройство помещается в экранирующую камеру Фарадея для блокировки всех радиоканалов  (GSM/4G/5G, Wi-Fi, Bluetooth, NFC).  Это предотвращает дистанционную команду на удаление данных или активацию функции самоочистки  (remote wipe).  Осуществляется документальная фиксация физического состояния устройства и создание физического дампа  (bit-for-bit copy) памяти с использованием аппаратно-программных комплексов  (Cellebrite UFED, Magnet AXIOM).

Этап 2.  Статический анализ  (Examination) 🔎

Работа ведется с полученным образом памяти, что исключает изменение оригинальных данных.  Направления анализа включают:

  • Восстановление файловой структуры  — построение полного дерева файлов, включая данные предустановленных и пользовательских приложений.
  • Сравнение хэш-сумм  — выявление несоответствий в системных библиотеках и исполняемых файлах, указывающих на внедрение руткита.
  • Анализ метаданных и артефактов  — исследование журналов системных событий  (logcat), истории сетевых подключений, записей календаря, базы данных SMS/MMS.
  • Поиск индикаторов компрометации  (IoC)  — выявление известных сигнатур, доменных имен командных серверов  (C&C), характерных строк в коде или имен файлов.

Этап 3.  Поведенческий анализ в изолированной среде  (песочнице) 🏜️

Воссоздание критических участков файловой системы и регистровых ключей для запуска подозрительных процессов.  Мониторинг системных вызовов  (syscalls), создания новых процессов, попыток доступа к чувствительным данным и установки сетевых соединений.

Этап 4.  Анализ оперативной памяти  (RAM Forensics) 🧬

Современные шпионские программы часто работают бесфайлово и никогда не записываются на диск.  Получение дампа RAM через WinPMEM, DumpIt или FTK Imager Live, последующий анализ с помощью Volatility 3 для выявления инжектов в легитимные процессы, аномальных DLL и активных сетевых соединений на нестандартные порты.

Этап 5.  Сетевой анализ и выявление каналов управления  (C&C) 📡

Любая шпионская программа нуждается в управляющем сервере и канале эксфильтрации данных.  Анализируются PCAP-логи сетевого оборудования, DNS-логи, логи прокси и межсетевых экранов.  Выявляются подозрительные домены  (DGA), нестандартные порты, геолокация серверов.  Используются Wireshark, NetworkMiner, Suricata с правилами ET PRO, JA3/JA3S  — отпечатки TLS-рукопожатий.

🟩 Раздел 4.  Реальные кейсы из экспертной практики

Рассмотрим несколько реальных сценариев, демонстрирующих различные варианты проникновения шпионских программ на ПК, смартфоны и планшеты, а также методологию их обнаружения в рамках профессионального поиска незаконно установленных программ слежения.

📍 Кейс №1:  Семейная слежка на устройстве Android 📱

Ситуация:  В лабораторию обратилась гражданка с жалобами на аномальное поведение смартфона:  быстрый разряд аккумуляторной батареи  (с 30 часов до 5 часов работы), наличие щелчков и эха во время телефонных разговоров, самопроизвольное включение экрана в ночное время, фиксация неизвестного сетевого трафика около 250 МБ в сутки.  Заявительница находилась в процессе расторжения брака и подозревала супруга в установке шпионского ПО.

Вектор проникновения:  Физический доступ к устройству.  Приложение маскировалось под системную службу обновлений, отличие заключалось в одной букве в имени пакета.  Цифровая подпись не соответствовала сертификату разработчика.

Методология:  Устройство помещено в экранирующую камеру.  Создана побитовая копия внутренней памяти.  Поиск незаконно установленных программ слежения выявил подозрительный пакет, запрашивавший доступ к микрофону, камере, геолокации, контактам, SMS и записи экрана.  В системных логах обнаружены регулярные соединения с удаленным сервером.  Поведенческий анализ подтвердил передачу аудиозаписей и скриншотов.

Результат:  Вредоносный пакет удален.  Составлено экспертное заключение, использованное в судебном процессе.  Супруг признал факт установки шпионского ПО.

📍 Кейс №2:  Финансовый троян после фишинговой атаки 💸

Ситуация:  Гражданин получил SMS от имени крупного банка с информацией о блокировке карты и ссылкой для разблокировки.  Перешел по ссылке, ввел логин, пароль и код подтверждения.  Через два часа с его счета списано 950 000 рублей.

Вектор проникновения:  Фишинговая ссылка вела на поддельный сайт, визуально копировавший официальный портал банка.  После ввода данных на устройство загружен банковский троян, скрытый из общего списка установленных программ.

Методология:  Создана побитовая копия внутреннего накопителя.  Анализ истории браузера выявил ссылку на фишинговый сайт.  В системном разделе памяти обнаружено приложение, установленное в день перехода по ссылке, без иконки.  Приложение запрашивало доступ к SMS, уведомлениям и возможность отображать окна поверх других приложений.  Дизассемблирование выявило функции перехвата одноразовых паролей из SMS от банка.

Результат:  Вредоносный модуль удален.  Экспертное заключение передано в правоохранительные органы и использовано в банке для запуска процедуры страхового возмещения.

📍 Кейс №3:  Корпоративный шпионаж среди сослуживцев 🏢

Ситуация:  Руководитель крупной коммерческой организации сообщил, что в течение нескольких месяцев его переговоры с клиентами становились известны конкурентам.  Коммерческие предложения, направляемые по электронной почте, оказывались у другой фирмы раньше, чем клиент успевал их прочитать.

Вектор проникновения:  На рабочий смартфон iPhone установлен неизвестный профиль конфигурации  (MDM), предоставляющий права на удаленное управление устройством, доступ к корпоративной почте, календарю и контактам, а также возможность удаленного стирания данных.

Методология:  Анализ установленных профилей конфигурации в разделе настроек выявил неизвестный профиль, не связанный с корпоративной политикой безопасности организации.  Профиль был установлен через физический доступ к устройству.

Результат:  Профиль удален.  Проведено служебное расследование, установлен сотрудник, имевший физический доступ к устройству руководителя.

📍 Кейс №4:  Целевая атака через уязвимость нулевого дня 🌐

Ситуация:  В марте 2025 года эксперты «Лаборатории Касперского» зафиксировали операцию ForumTroll  — целевую атаку против российских СМИ, государственных учреждений, научных и финансовых организаций.  Злоумышленники использовали фишинговую рассылку, маскируя письма под приглашения на форум «Примаковские чтения».

Вектор проникновения:  Атака использовала уязвимость нулевого дня CVE-2025-2783 в браузере Google Chrome.  Достаточно было открыть вредоносную ссылку в браузере на базе Chromium  — устройство заражалось без каких-либо дополнительных действий со стороны пользователя.  Центральным элементом стал зловред LeetAgent с системой команд на языке Leet.  В ходе анализа обнаружен новый вредонос, схожий по структуре с Dante  — шпионской платформой итальянской компании Memento Labs.

Результат:  Разработаны правила детекции, предотвращено дальнейшее распространение.  Уголовное дело возбуждено по ст.  272 и 273 УК РФ.

🟩 Раздел 5.  Процессуальные аспекты и юридическая квалификация

Важно понимать, что удаление шпионской программы без фиксации следов является уничтожением доказательств.  Профессиональный поиск незаконно установленных программ слежения всегда включает процессуальное оформление, позволяющее использовать результаты в суде.

5.1.  Правовое поле 📜

В российском законодательстве установка шпионского ПО без согласия пользователя подпадает под действие следующих статей:

  • Статья 272 УК РФ  — неправомерный доступ к компьютерной информации.
  • Статья 273 УК РФ  — создание, использование и распространение вредоносных компьютерных программ.
  • Статья 138 УК РФ  — нарушение тайны переписки, телефонных переговоров.
  • Статья 183 УК РФ  — незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну.
  • Статья 138.1 УК РФ  — незаконный оборот специальных технических средств, предназначенных для негласного получения информации.

5.2.  Требования к судебной компьютерной экспертизе ⚖️

Чтобы заключение эксперта было принято судом, необходимо соблюдать:

  • Федеральный закон № 73-ФЗ «О государственной судебно-экспертной деятельности в РФ».
  • Процессуальные кодексы  (АПК, ГПК, УПК)  — требования к допустимости доказательств.

Ключевые принципы:  неизменность объекта исследования  (копирование на write-blocker), документирование каждого действия, возможность проверки результатов другим экспертом.  Эксперт предупреждается об ответственности по статье 307 УК РФ за дачу заведомо ложного заключения.

5.3.  Сравнительный анализ:  профессиональная экспертиза vs потребительский антивирус 📊

Критерий Профессиональная экспертиза Потребительский антивирус
Глубина доступа к данным Физический дамп всей памяти, включая системные разделы и удаленные файлы Ограниченный доступ в рамках sandbox приложения
Методы детектирования Сигнатурный, эвристический, поведенческий анализ, исследование артефактов ОС Преимущественно сигнатурный анализ
Обнаружение stalkerware Высокая эффективность за счет анализа пакетов, прав доступа и журналов Крайне низкая
Доказательная ценность Формирование юридически значимого заключения Отсутствует

[Источник:  на основе методологических рекомендаций, представленных в

]

🟩 Заключение:  деловые выводы и практические рекомендации

На основании проведенного анализа методологических и процессуальных аспектов поиска незаконно установленных программ слежения, могут быть сформулированы следующие деловые выводы:

  1. Многоуровневый подход обязателен.  Только комбинация статического, динамического и низкоуровневого анализа позволяет обнаружить современное шпионское ПО, использующее методы обфускации кода и легитимные сертификаты
  • .
  • Физический доступ — главный вектор атаки.  Большинство сложных шпионских программ устанавливаются через физический доступ к устройству, что требует усиления мер физической безопасности
  • .
  • Процессуальная чистота критична. Результаты поиска незаконно установленных программ слежения приобретают юридическую силу только при соблюдении процессуальных норм:  работа с битовыми копиями через write-blocker, фиксация хеш-сумм, документирование каждого шага
  • .
  1. ·  Самостоятельное удаление уничтожает улики.  Любые действия по удалению подозрительных файлов или переустановке системы до проведения экспертизы делают невозможным привлечение виновных к ответственности.
  2. Своевременность  — ключевой фактор.  Чем раньше проведен профессиональный поиск незаконно установленных программ слежения, тем выше шансы зафиксировать следы и предотвратить дальнейший ущерб.

При обнаружении признаков несанкционированного цифрового мониторинга  (аномальный расход трафика, быстрая разрядка аккумулятора, эхо при разговорах, необъяснимые списания со счетов) рекомендуется незамедлительно обратиться к специалистам для проведения профессиональной диагностики.

Для получения профессиональной помощи в проведении независимой компьютерно-технической экспертизы и поиска незаконно установленных программ слежения на любых устройствах обращайтесь к нам.  Подробная информация о методологии и процедуре доступна по ссылке:  https://fedexpertiza.ru/poisk-programm-slezheniya/ 🔗

Полезная информация?

Вам может также понравиться...

Новые статьи

🟩 Экспертиза по расчету суммы ущерба рекам и озерам:  нормативно-методическое обеспечение, полевые исследования и судебная практика взыскания экологического вреда

Введение:  постановка деловой задачи В современных условиях цифровизации всех сфер экономической и личной деятельности, …

🟩 Лабораторная экспертиза по расчету вреда, причиненного водному объекту

Введение:  постановка деловой задачи В современных условиях цифровизации всех сфер экономической и личной деятельности, …

🟩Поиск программ отслеживания

Введение:  постановка деловой задачи В современных условиях цифровизации всех сфер экономической и личной деятельности, …

🟩Экспертиза по расчету и оценке вредного воздействия и расчету ущерба водным ресурсам

Введение:  постановка деловой задачи В современных условиях цифровизации всех сфер экономической и личной деятельности, …

🟩 Выявление шпионских программ и ПО: конфликтный протокол обнаружения

Введение:  постановка деловой задачи В современных условиях цифровизации всех сфер экономической и личной деятельности, …

Задать вопрос экспертам

14+6=