
- Введение: актуальность и проблемное поле научного исследования
В эпоху повсеместной цифровизации персональные электронные устройства превратились в интегральные компоненты частной и профессиональной жизни, одновременно становясь основными векторами для несанкционированного доступа к конфиденциальной информации. По данным последнего отчета Europol’s Internet Organized Crime Threat Assessment (IOCTA), рынок специализированного шпионского ПО (stalkerware/spyware) демонстрирует устойчивый рост на 25-30% ежегодно, при этом 58% инцидентов связано с использованием троянских программ удаленного доступа (Remote Access Trojan — RAT). Традиционные антивирусные решения демонстрируют эффективность не более 45% против современных целевых угроз, что делает профессиональные услуги по проверке смартфонов и планшетов на наличие шпионского ПО критически важными для обеспечения цифрового суверенитета личности и организации.
Проблематика выявления шпионского ПО на мобильных устройствах находится на пересечении нескольких научных и прикладных дисциплин: компьютерной криминалистики, теории информационной безопасности, уголовно-процессуального права и реверс-инжиниринга. С методологической точки зрения, эффективное обнаружение шпионского программного обеспечения требует синтеза технических методов анализа и процессуальных процедур, обеспечивающих юридическую значимость полученных результатов.
В российской правовой доктрине установка шпионского ПО без согласия пользователя подпадает под действие ряда норм Уголовного кодекса РФ, включая статью 137 (Нарушение неприкосновенности частной жизни), статью 138 (Нарушение тайны переписки), статью 272 (Неправомерный доступ к компьютерной информации) и статью 273 (Создание и распространение вредоносных программ). В соответствии с этим, услуги по проверке смартфонов и планшетов на наличие шпионского ПО в судебно-экспертной практике представляют собой комплексную лабораторно-юридическую процедуру, результаты которой могут стать основой для уголовного преследования.
- Таксономия угроз: классификация шпионского ПО для мобильных устройств
Формирование эффективной методологии услуг по проверке смартфонов и планшетов на наличие шпионского ПО невозможно без систематизации объектов исследования. Классификация шпионского ПО может быть построена по нескольким ортогональным признакам: способу распространения и персистенции, уровню привилегий, функциональному набору и стойкости к обнаружению.
2.1. Классификация по механизму внедрения и персистенции 🎯
- Троянские программы с функциональностью RAT (Remote Access Trojan). Механизм внедрения: фишинговые кампании, эксплуатация уязвимостей нулевого дня, компрометация легитимного ПО через цепочку поставок (Supply Chain Attack). Особенности персистенции: использование легитимных механизмов автозапуска, инъекция в доверенные системные процессы.
- Коммерческие шпионские пакеты (Commercial Spyware/Stalkerware). Механизм внедрения: требует физического доступа к устройству или социальной инженерии для установки. Особенности: использование легальных цифровых сертификатов, маскировка под системные утилиты или приложения родительского контроля (mSpy, FlexiSPY, Cocospy).
Государственные/целевые шпионские платформы (Government-grade Spyware). Механизм внедрения: эксплуатация цепочек уязвимостей (Exploit Chains), бескликовые атаки через сетевые протоколы. Особенности: максимальный уровень скрытности, использование уязвимостей в самом ядре ОС (Zero-day Kernel Vulnerabilities).
2.2. Классификация по функциональным возможностям 🛠️
- Кейлоггеры (Keyloggers). Модули, перехватывающие ввод с экранной клавиатуры, включая логины, пароли, сообщения и поисковые запросы. Современные реализации используют accessibility-сервисы (Android) или недокументированные API (iOS).
- Трояны удаленного доступа (RAT). Наиболее опасный класс. Обеспечивают полный контроль: активация камеры и микрофона, геолокация в реальном времени, извлечение файлов из облачных хранилищ (Google Drive, iCloud), перехват сообщений из шифрованных мессенджеров (Telegram, WhatsApp) путем захвата экрана или доступа к уведомлениям.
- Информационные сборщики (Data Harvesters). Специализируются на агрегации конкретных данных: история звонков и контакты, галерея изображений, история браузера, метаданные файлов.
- Сталкерское ПО (Stalkerware). Коммерческие пакеты, изначально разработанные для родительского контроля, но используемые для скрытого слежения без согласия наблюдаемого лица.
2.3. Эмпирическая классификация по методу инсталляции
На основе анализа практических кейсов можно выделить следующие основные векторы проникновения, каждый из которых требует специфического подхода в рамках услуг по проверке смартфонов и планшетов на наличие шпионского ПО:
- Фишинг и социальная инженерия. Наиболее распространённый вектор. Вредоносное ПО маскируется под легитимные приложения и устанавливается самим пользователем в результате перехода по ссылке или открытия вложения.
- Физический доступ к устройству. Прямая установка злоумышленником, часто с предварительным получением прав суперпользователя (root) на Android или использованием уязвимостей для джейлбрейка на iOS.
- Атаки через цепочку поставок. Компрометация легитимных приложений на этапе разработки или распространения через сторонние магазины приложений.
- Бескликовые атаки (Zero-Click). Эксплуатация уязвимостей в сетевых протоколах без какого-либо взаимодействия со стороны пользователя. Используются наиболее продвинутыми шпионскими платформами, включая Pegasus, Hermit и Predator.
- Методология экспертного анализа: многоуровневая модель исследования
Профессиональные услуги по проверке смартфонов и планшетов на наличие шпионского ПО основаны на методологии цифровой криминалистики и предполагают последовательное прохождение нескольких фаз: изоляции и сохранения артефактов, статического анализа, динамического анализа и документирования результатов.
3.1. Фаза 1: Предварительный анализ и криминалистическая изоляция ⛓️💾
Первостепенной задачей является сохранение целостности цифровых доказательств. Устройство помещается в экранирующую камеру Фарадея для блокировки всех радиоканалов (GSM/4G/5G, Wi-Fi, Bluetooth, NFC). Это предотвращает дистанционную команду на удаление данных (remote wipe), активируемую многими продвинутыми RAT-клиентами при обнаружении нестандартной среды.
Осуществляется создание физического дампа (bit-for-bit copy) памяти с использованием аппаратно-программных комплексов (Cellebrite UFED, Magnet AXIOM). Данный подход позволяет получить доступ ко всем секторам памяти, включая удалённые файлы и системные разделы, недоступные в штатном режиме работы ОС. Каждый образ снабжается хэш-суммами (MD5, SHA-256) для обеспечения неизменности и доказательной ценности.
3.2. Фаза 2: Статический анализ артефактов файловой системы 🔍📁
Работа ведётся с полученным образом памяти, что исключает изменение оригинальных данных. Ключевые направления:
- Восстановление файловой структуры: Построение полного дерева файлов, включая данные предустановленных и пользовательских приложений (/data/data/ на Android, Containers на iOS).
- Сравнение хэш-сумм: Выявление несоответствий в системных библиотеках и исполняемых файлах, указывающих на внедрение руткита.
- Анализ метаданных и артефактов: Исследование журналов системных событий (logcat), истории сетевых подключений, записей календаря, базы данных SMS/MMS, а также файлов shm и wal от приложений мессенджеров.
- Поиск индикаторов компрометации (IoC): Выявление известных сигнатур, доменных имён командных серверов (C&C), характерных строк в коде или имён файлов с использованием YARA-правил.
- Анализ разрешений приложений: Проверка доступа к микрофону, камере, геолокации, контактам, SMS и возможности записи экрана.
3.3. Фаза 3: Форензика оперативной памяти и динамический анализ 🧠🔬
Данный этап применяется для обнаружения наиболее сложных угроз, включая бесфайловое ПО, руткиты и кастомное шпионское ПО.
- Анализ дампов памяти: С использованием фреймворков Volatility 3 и Rekall выполняется парсинг структур данных в дампе памяти. Выявляются скрытые процессы, внедрённые модули, открытые сетевые сокеты, хуки в системные структуры.
- Поведенческий анализ в изолированной среде (песочнице): Воссоздание критических участков файловой системы для запуска подозрительных процессов. Мониторинг системных вызовов (syscalls), создания новых процессов, попыток доступа к чувствительным данным (геолокация, контакты, микрофон) и установки сетевых соединений.
- Анализ сетевой активности: Реконструкция сетевого трафика из кэша и временных файлов браузеров. Выявление аномальных DNS-запросов или соединений с IP-адресами, ассоциированными с киберпреступной инфраструктурой.
3.4. Фаза 4: Документирование и юридическая квалификация 📜⚖️
Все выявленные артефакты связываются в логическую цепочку, доказывающую факт установки и функционирования шпионского ПО. Результаты оформляются в виде структурированного экспертного заключения, которое имеет юридическую силу и может быть использовано в судебных процессах.
- Инструментальная база: технологический стек экспертного исследования
Эффективность услуг по проверке смартфонов и планшетов на наличие шпионского ПО напрямую зависит от используемого инструментария. Ниже представлена систематизация инструментов по этапам анализа:
| Этап анализа | Категория инструментов | Примеры | Назначение |
| Извлечение данных | Криминалистические сборщики | Cellebrite UFED, Magnet AXIOM, Oxygen Forensic Detective | Создание физических дампов, извлечение артефактов, криминалистическое копирование |
| Анализ образов | Анализаторы файловых систем | X-Ways Forensics, Autopsy, The Sleuth Kit | Поиск скрытых и удалённых файлов, анализ метаданных, реконструкция временной шкалы |
| Анализ памяти | Фреймворки форензики | Volatility 3, MemProcFS | Парсинг структур ОС в дампе памяти, выявление скрытых процессов и хуков |
| Статический анализ | Декомпиляторы и анализаторы | Ghidra, IDA Pro, jadx (для APK) | Декомпиляция, анализ исходного кода, обнаружение обфускации |
| Динамический анализ | Системы песочниц | Cuckoo Sandbox, CAPE, ANY.RUN | Автоматизированный отчёт о поведении образца: вызовы API, сетевые соединения |
| Сетевой анализ | Снифферы и анализаторы | Wireshark, NetworkMiner, Zeek | Перехват и анализ трафика, обнаружение C2-соединений |
- Эмпирические кейсы: вариативность векторов проникновения
Рассмотрение реальных случаев из экспертной практики позволяет конкретизировать методологические принципы и продемонстрировать разнообразие угроз, требующих профессиональных услуг по проверке смартфонов и планшетов на наличие шпионского ПО.
Кейс №1: Фишинговая атака через поддельные магазины приложений — Android/Spy.ProSpy и Android/Spy.ToSpy 🎭📱
Исследовательская группа ESET выявила две активные кампании, связанные с распространением Android-шпионов, маскирующихся под популярные мессенджеры Signal и ToTok. Атаки нацелены прежде всего на пользователей в Объединённых Арабских Эмиратах. Распространение происходит через сайты, внешне повторяющие официальные страницы сервисов. Заражение возможно только при ручной установке приложения из неизвестных источников — в магазине Google Play эти программы отсутствуют.
Вариант проникновения: Фишинг через поддельные сайты, имитирующие официальные страницы. Первая кампания (Android/Spy.ProSpy) распространяется под видом обновлений или дополнительных модулей — например, «Signal Encryption Plugin» или «ToTok Pro». Вторая группа (Android/Spy.ToSpy) копирует интерфейс магазина Samsung Galaxy Store. На фальшивой странице пользователю предлагается установить «новую версию» ToTok.
Технические детали: После запуска приложения меняют значок и отображаются в списке программ как Play Services. При нажатии на иконку пользователь перенаправляется к настоящему сервису Google, что затрудняет выявление заражения. Программа запрашивает права доступа к контактам, SMS и файловой системе, а затем передаёт собранные данные на удалённые серверы. Данный кейс демонстрирует необходимость анализа цифровых подписей и проверки подлинности приложений в рамках услуг по проверке смартфонов и планшетов на наличие шпионского ПО.
Кейс №2: LunaSpy — массовая шпионская кампания на Android в России 🇷🇺🦠
«Лаборатория Касперского» обнаружила более 3000 атак на владельцев Android-устройств в России с использованием нового трояна для шпионажа, получившего название LunaSpy. Отдельные атаки с применением LunaSpy фиксировались в феврале 2025 года, однако основной всплеск пришёлся на июнь и июль.
Вариант проникновения: Злоумышленники распространяют LunaSpy через мессенджеры под видом защитного решения для смартфона и финансовых сервисов. Вредоносное ПО имитирует работу антивируса, показывая уведомления об обнаруженных киберугрозах, которых на самом деле нет, чтобы убедить пользователя предоставить необходимые разрешения.
Технические детали: LunaSpy способен записывать видео и звук, отслеживать геолокацию, записывать экран, следить за активностью в мессенджерах и браузерах, красть пароли, получать доступ к журналу звонков и списку контактов, читать SMS и отправлять собранные данные атакующим. Также обнаружен код для кражи фотографий из галереи телефона. Специалисты «Лаборатории Касперского» не исключают, что LunaSpy используется как вспомогательный инструмент для кражи денег пользователей. По оценкам экспертов, количество пользователей, которые могут пострадать от LunaSpy, варьируется от тысяч до сотен тысяч в зависимости от используемых мошенниками способов распространения. В России не менее 70% мобильных устройств работают на Android (около 60-70 миллионов).
Кейс №3: Hermit — коммерческое шпионское ПО от итальянского RCS Lab 🏛️📟
Hermit — это шпионское ПО, разработанное итальянским коммерческим поставщиком шпионских программ RCS Lab, которое может быть тайно установлено на мобильные телефоны под управлением iOS и Android. Компания RCS Lab занимается тем же бизнесом, что и NSO Group (разработчик Pegasus), и продаёт шпионский софт правительственным учреждениям.
Вариант проникновения: Некоторые злоумышленники выдавали себя за оператора мобильной связи жертвы, чтобы обманом заставить жертву загрузить приложение, которое доставит полезную нагрузку. Также вредонос выдавал себя за законное приложение для обмена сообщениями. Хотя приложения, содержащие шпионское ПО, не были доступны в iOS App Store или Google Play Store, злоумышленники смогли получить сертификаты, разрешающие установку зловреда на любое устройство iOS, через корпоративную программу Apple для разработчиков.
Технические детали: Подобно Pegasus, Hermit способен отслеживать звонки, отслеживать местоположение, читать текстовые сообщения, получать доступ к фотографиям, записывать аудио, совершать и перехватывать телефонные звонки и способен получить root на устройствах Android. Как только информация о Hermit стала достоянием общественности, Apple заявила, что отозвала связанные с ней сертификаты, а Google заявил, что распространил обновления Google Play Protect для всех пользователей.
Кейс №4: Pegasus — израильская шпионская платформа 🕵️♂️📱
Pegasus, разработанный израильской компанией NSO Group, является наиболее известной и технически совершенной шпионской платформой, нацеленной на устройства с мобильными ОС Android и iOS.
Вариант проникновения: Используются уязвимости iOS (CVE-2016-4655, CVE-2016-4656, CVE-2016-4657), эксплойты FORCEDENTRY, Zero-click и др. Путей заражения несколько: фишинг, телефонный звонок (вне зависимости от того, будет ли ответ на звонок или нет), сообщения в iPhone iMessage, осуществление сетевой атаки.
Технические детали: Ключевой особенностью является джейлбрейк iPhone или получение root-доступа Android-устройства. Среди возможностей: анализ контактов, журналов вызовов, сообщений, фотографий, истории посещенных веб-страниц, настроек, прослушивание зашифрованных аудиопотоков и чтения зашифрованных сообщений, создание скриншотов, регистрация нажатия клавиш, а также сбор информации из приложений, включая Facebook, WhatsApp, iMessage, Gmail, Viber, Telegram и Skype.
Кейс №5: Predator — шпионское ПО от Cytrox (Северная Македония) 🎯🦠
Predator, разработанный компанией Cytrox из Северной Македонии, нацелен на устройства с мобильными ОС Android и iOS.
Вариант проникновения: Используются уязвимости CVE-2021-37973, CVE-2021-37976, CVE-2021-38000, CVE-2021-38003 в Chrome и CVE-2021-1048 в Android. Ключевой особенностью является совместная работа с программным компонентом Alien, которое настраивает низкоуровневые возможности, необходимые Predator.
Технические детали: Основными возможностями являются: получение полного доступа к микрофону, камере и данным пользователя, таким как контакты и текстовые сообщения. Predator имеет доступ к службам определения местоположения устройства и приложениям для обмена сообщениями, таким как WhatsApp, Telegram и Signal. Он также позволяет перехватывать и фальсифицировать сообщения.
- Признаки компрометации: индикаторы для инициации экспертного исследования
На основе систематизации эмпирических данных можно выделить следующие группы признаков, указывающих на возможное наличие шпионского ПО и необходимость проведения профессиональных услуг по проверке смартфонов и планшетов на наличие шпионского ПО:
6.1. Аномальное поведение устройства 📉
- Быстрая разрядка аккумуляторной батареи без видимых причин (шпионские модули работают в фоновом режиме).
- Перегрев корпуса при отсутствии ресурсоёмких задач.
- Замедление работы, зависания, самопроизвольные перезагрузки.
6.2. Подозрительная сетевая активность 🌐
- Повышенный расход интернет-трафика.
- Обнаружение неизвестных исходящих соединений в нестандартные порты.
- Аномальные DNS-запросы к доменам с высоким коэффициентом энтропии.
6.3. Подозрительная активность в системе ⚙️
- Неожиданное получение кодов подтверждения операций, которые пользователь не инициировал.
- Самопроизвольное открытие приложений без участия пользователя.
- Наличие незнакомых приложений, процессов или служб с именами, похожими на системные (Play Services, sysupdate).
- Самопроизвольная активация камеры, микрофона или вспышки.
- Посторонние шумы, эхо или щелчки во время телефонных разговоров.
- Отключение или некорректная работа антивирусного ПО.
6.4. Компрометация информационного окружения 🕵️
- Злоумышленник демонстрирует знание информации, которой у него не должно быть (детали разговоров, переписки, маршруты передвижения).
- Процессуальные основания и юридическая квалификация
Результаты услуг по проверке смартфонов и планшетов на наличие шпионского ПО могут служить основанием для возбуждения уголовного дела. Суд может назначить экспертизу в рамках уголовного дела (ст. 195 УПК РФ — обязательная экспертиза при наличии специальных знаний), гражданского или арбитражного дела (ст. 79 АПК РФ, ст. 79 ГПК РФ), а также административного расследования.
Типовые вопросы суда эксперту :
- Обнаружены ли на представленном для исследования мобильном устройстве программы, предназначенные для негласного получения информации?
- Каков механизм их работы (кейлоггинг, скриншоттинг, доступ к микрофону/камере)?
- Когда и с какого IP-адреса производилась установка?
- Какой объём информации был скомпрометирован и куда она передавалась?
Для того чтобы экспертное заключение имело силу доказательства, оно должно быть получено с соблюдением всех процессуальных норм: экспертиза назначается на основании постановления следователя или определения суда, эксперт предупреждается об ответственности по ст. 307 УК РФ за дачу заведомо ложного заключения.
- Алгоритм действий при подозрении на слежку
При обнаружении признаков цифрового наблюдения или несанкционированного доступа к устройству рекомендуется строго соблюдать следующий алгоритм:
- НЕ ПРЕДПРИНИМАТЬ САМОСТОЯТЕЛЬНЫХ ДЕЙСТВИЙ ПО УДАЛЕНИЮ! 🛑 Уничтожение файлов или сброс настроек приведёт к потере цифровых следов, которые являются доказательной базой для правоохранительных органов и для возврата похищенных средств.
- НЕМЕДЛЕННО ОТКЛЮЧИТЬ УСТРОЙСТВО ОТ СЕТИ ИНТЕРНЕТ. ✈️ Перевести телефон в режим «в самолёте». Это остановит передачу данных на сервер злоумышленника.
- НЕ ВЫКЛЮЧАТЬ УСТРОЙСТВО. Перезагрузка может уничтожить следы в оперативной памяти, критичные для обнаружения бесфайловых угроз.
- ЗАФИКСИРОВАТЬ ИМЕЮЩИЕСЯ ДАННЫЕ: сделать скриншоты подозрительных уведомлений, сохранить чеки о списании средств.
- НЕЗАМЕДЛИТЕЛЬНО ОБРАТИТЬСЯ К ЭКСПЕРТАМ. Чем раньше начата диагностика, тем больше данных можно восстановить из системных журналов, которые перезаписываются в течение ограниченного времени.
Ознакомьтесь с полным перечнем услуг и методик диагностики на официальной странице 🔗
Заключительный вывод
Организация профессиональных услуг по проверке смартфонов и планшетов на наличие шпионского ПО является не просто технической процедурой, а комплексной научно-экспертной задачей, требующей глубоких знаний в области цифровой криминалистики, процессуального права и инструментальных методов анализа. Рассмотренные кейсы — от массовых фишинговых кампаний с использованием LunaSpy до целенаправленных атак государственного уровня с применением Pegasus, Hermit и Predator — демонстрируют, что только экспертный подход гарантирует обнаружение скрытых угроз, сохранение доказательной базы и эффективную защиту интересов заказчика в судебных и административных процессах.
Современные мобильные устройства стали неотъемлемым элементом как повседневной коммуникации, так и предметом правовых споров. Научно обоснованная и методологически выверенная процедура исследования таких устройств приобретает ключевое значение в доказывании обстоятельств гражданских, арбитражных и уголовных дел. Инвестиции в профессиональную диагностику являются не затратами, а стратегическим вложением в информационную безопасность, предотвращающим многократно большие финансовые и репутационные потери. Доверяйте безопасность своих устройств и защиту своих прав только тем, кто владеет методами цифровой криминалистики на уровне, позволяющем видеть то, что скрыто от стандартных средств защиты, и оформлять результаты исследования в виде юридически значимого документа. ⚖️🔒🇷🇺





Задавайте любые вопросы