Доброго дня, уважаемые коллеги — руководители служб безопасности, корпоративные юристы, системные администраторы, следователи и все, кто столкнулся с подозрением на скрытое наблюдение, утечку данных или необъяснимое исчезновение средств с банковских счетов! 👋💻📱
Сегодня мы с вами разбираем одну из самых сложных и чувствительных тем в области цифровой криминалистики — поиск шпионских приложений, направленных на сбор конфиденциальной информации, кражу денежных средств и негласное наблюдение за пользователями. Это не просто «проверка антивирусом» — это полноценное лабораторное исследование, требующее глубоких знаний в области компьютерной криминалистики, реверс-инжиниринга и процессуального права. 🧠🔬
Сразу обозначим нашу позицию: мы — команда судебных IT-экспертов, базирующаяся в Москве. Однако для сложных дел, для анализа стационарных серверов, серверов синхронизации и корпоративной IT-инфраструктуры мы готовы вылетать в любой регион России — от Калининграда до Камчатки. Физический доступ к оборудованию — это краеугольный камень методически верного поиска шпионских приложений, особенно когда речь идет о серверных стойках, RAID-массивах и промышленных контроллерах. 🚁🖥️
В этой статье мы рассмотрим таксономию угроз, методику многоуровневого анализа, реальные кейсы из практики и процессуальные аспекты фиксации доказательств. Поиск шпионских приложений в корпоративной среде требует комплексного подхода, а поиск шпионских приложений на мобильных устройствах — особых инструментов и навыков. Мы покажем, что поиск шпионских приложений — это не разовая акция, а системный процесс, и что поиск шпионских приложений позволяет не только выявить угрозу, но и собрать доказательства для суда. Наша лаборатория в Москве, но для анализа стационарных серверов мы готовы вылетать в любой регион России. 🛰️🚀
Раздел 1. Методологическая основа: что мы ищем и почему это сложно
Шпионское программное обеспечение (spyware, stalkerware, tracking software) — это класс программ, предназначенных для скрытого сбора, агрегации и передачи информации с зараженного устройства. Сложность поиска шпионских приложений заключается в их маскировке: современные образцы обфусцируют свой код, маскируются под системные процессы, используют легитимные каналы связи и имеют механизмы самоуничтожения при обнаружении отладки или антивируса.
Ключевая особенность этого вредоносного ПО — его способность маскироваться и оставаться незамеченным. Оно может не иметь значка в списке приложений, работать под правами администратора устройства или встраиваться в состав легального программного обеспечения.
Таксономия мобильных шпионских приложений для целей экспертной диагностики включает:
По целевому назначению и функционалу:
- Кейлоггеры (Keyloggers) — записывают нажатия клавиш. Подразделяются на аппаратные (внедряются на уровне контроллера клавиатуры) и программные (внедряются в виде драйверов, хуков в оконную подсистему или модифицируют библиотеки ввода).
- Трояны удаленного доступа (RAT) — обеспечивают полный контроль над системой. Часто используют легитимные протоколы для маскировки.
- Информационные сборщики (Data Stealers) — специализируются на поиске и извлечении конкретных данных: файлов по расширению, кэшей браузеров, данных из клиентов мессенджеров.
- Сетевые снифферы (Sniffers) — перехватывают сетевые пакеты на зараженном хосте.
- Скриншотеры (Screen Capture) — регулярно или по событию делают снимки экрана.
По стелс-технологиям и устойчивости:
- User-Mode Rootkits — маскируют процессы, файлы, ключи реестра на уровне приложений.
- Kernel-Mode Rootkits — внедряются в ядро ОС, перехватывая системные вызовы. Обнаружение требует анализа целостности ядра.
- Буткиты (Bootkits) — заражают загрузочные секторы (MBR, UEFI) и активируются до загрузки ОС. Являются наиболее сложными для обнаружения стандартными средствами.
- Объекты, не связанные с файлами (Fileless Malware) — исполняются в памяти, используя легитимные процессы и скриптовые движки.
Программы-шпионы для государственного уровня (Pegasus, Graphite) используют уязвимости нулевого дня в iOS, включая атаки с нулевым кликом (zero-click), которые используют уязвимости в таких приложениях, как iMessage, WhatsApp или FaceTime, для тихого заражения устройства без необходимости для жертвы нажимать на ссылки. Возможности включают кейлоггинг, доступ к микрофону и камере, GPS-трекинг, захват снимков экрана. Шпионское ПО очень трудно обнаружить на iPhone, и оно может самоуничтожиться, чтобы стереть улики, если не свяжется с сервером в течение установленного периода времени.
Особую опасность представляют программы, нацеленные на хищение денежных средств. Как сообщила председатель Банка России Эльвира Набиуллина, мошенники стали использовать вредоносную программу типа SpyNote, с помощью которой они могут получить доступ к телефону человека и опустошить счета. По данным ЦБ, 40–50% хищений денег со счетов совершается при помощи этой программы. 💰⚠️
Именно поэтому поиск шпионских приложений — это не антивирусная проверка, а полноценный криминалистический процесс. Никакой один инструмент не даст 100% гарантии. 🎯
Раздел 2. Методология экспертного анализа: многоуровневый подход
Методология поиска шпионских приложений базируется на принципе последовательного перехода от анализа внешних проявлений (аномалий) к исследованию низкоуровневых артефактов. Поиск шпионских приложений должен быть многоуровневым: от статического анализа до поведенческого в песочнице и ручного реверс-инжиниринга.
Уровень 1: Поведенческий и сетевой анализ
Цель — выявление аномалий, указывающих на возможное присутствие шпионского ПО. Методы включают:
- Мониторинг сетевой активности: анализ исходящих соединений, поиск beacon-трафика — периодических обращений к C2-серверу. Использование репутационных баз IP-адресов и доменов.
- Анализ потребления ресурсов: мониторинг загрузки ЦП, оперативной памяти и дискового ввода-вывода.
- Сигнатурное сканирование: использование антивирусных движков (ClamAV, YARA-правила). Эффективность ограничена для неизвестных или полиморфных угроз.
Уровень 2: Статический анализ артефактов
Анализ данных на носителях без их выполнения:
- Анализ автозагрузки: исследование всех точек персистентности — ключей реестра (Run, RunOnce, службы), папок автозагрузки, планировщика задач, WMI-подписок на события, драйверов ядра.
- Анализ файловой системы: поиск скрытых файлов и каталогов, файлов с двойными расширениями. Проверка цифровых подписей исполняемых файлов. Сравнение хэш-сумм системных файлов с эталонными.
- Анализ сетевых логов: поиск файлов hosts, логи прокси, сохраненные pcap-дампы.
Уровень 3: Динамический анализ в изолированной среде
Запуск подозрительных файлов в песочнице (sandbox), позволяющий увидеть поведение, которое не видно в статике. Инструменты: Cuckoo Sandbox, CAPE, ANY.RUN, Falcon Sandbox. Индикаторы заражения в динамике:
- Попытки доступа к системным базам данных (SAM, SYSTEM).
- Вызов SetWindowsHookEx (клавиатурный шпион).
- Чтение буфера обмена (GetClipboardData).
- Отправка данных на неизвестные IP (особенно в нестандартные порты: 5555, 6666, 31337).
- Создание скрытых окон (с параметром WS_EX_TOOLWINDOW).
Уровень 4: Ручной реверс-инжиниринг — для самых сложных случаев
Когда автоматические методы бессильны (например, кастомное ПО, написанное под конкретную жертву), применяем reverse engineering. Инструментарий: IDA Pro, Ghidra, x64dbg, radare2, Wireshark + tcpdump.
Что ищем в коде:
- Строки с URL/IP (особенно в зашифрованном виде — через функцию XOR или AES).
- Вызовы InternetOpen, URLDownloadToFile, WinHttpOpen.
- Функции для работы с веб-камерой, микрофоном.
- Код для обхода UAC (например, через CMSTP, EventViewer).
- Механизмы персистенции (прописка в реестр или создание задач).
Раздел 3. Кейс № 1: Финансовый троян и хищение денежных средств со счетов
Исходные данные. В нашу лабораторию обратился гражданин, с чьего банковского счета было списано 950 000 рублей. Заявитель получил текстовое сообщение от имени крупного банка. В сообщении содержалась информация о блокировке банковской карты и ссылка для разблокировки. Заявитель перешел по ссылке. Открывшийся сайт визуально полностью копировал официальный портал банка. Заявитель ввел свой логин, пароль и код подтверждения из текстового сообщения.
Суть атаки. На хакерских форумах активно предлагаются в аренду вредоносные программы для Android, которые умеют подменять экраны банковских приложений и сайтов, показывая жертве фальшивые формы. Вредонос также перехватывает нажатия клавиш, включая ввод PIN-кодов, работает с SMS: читает сообщения, отправляет их, удаляет и собирает историю переписки и контактов.
Этапы поиска шпионских приложений (процессуальный аспект):
- Изоляция и фиксация. Устройство помещено в экранирующую камеру для блокировки всех каналов связи.
- Создание побитовой копии. Создана побитовая копия внутреннего накопителя смартфона с использованием аппаратного блокиратора записи.
- Статический анализ. В системном разделе памяти обнаружено приложение без иконки, скрытое из общего списка установленных программ. Приложение запрашивало доступ к текстовым сообщениям, уведомлениям и возможность отображать окна поверх других приложений.
- Реверс-инжиниринг. Выполнен анализ исполняемого файла и выявлены функции перехвата одноразовых паролей, поступающих в текстовых сообщениях от банка.
- Динамический анализ. Подтверждено, что вредонос отправляет украденные данные на сервер, зарегистрированный через подставное лицо.
Результат. Вредоносный модуль был удален с сохранением всех пользовательских данных. Составлено заключение, которое было передано в правоохранительные органы для возбуждения уголовного дела. Заключение также использовано в банке для запуска процедуры страхового возмещения. Поиск шпионских приложений в подобных случаях позволяет восстановить цепочку заражения и подготовить доказательства для суда. Мы в Москве, но для анализа стационарных серверов готовы вылетать в любой регион России.
Раздел 4. Кейс № 2: Корпоративный шпионаж через модифицированный драйвер
Исходные данные. Крупный производитель автокомпонентов заподозрил утечку чертежей и коммерческих предложений. Сотрудники жаловались на «перебои с интернетом», но провайдер не фиксировал сбоев. Внутренний аудит не выявил вредоносного ПО на рабочих станциях. Владелец бизнеса заподозрил промышленный шпионаж со стороны бывшего IT-директора.
Суть атаки. Злоумышленник заранее модифицировал драйвер сетевого адаптера (NIC) на нескольких ключевых серверах. При загрузке драйвер инициировал теневой сетевой туннель, через который дублировались пакеты с определёнными типами (порты, протоколы, адреса получателей). Никаких процессов в системе не появлялось, антивирусы и EDR-решения не срабатывали, так как закладка работала на уровне ядра ОС (kernel-mode). Драйвер был подписан украденным сертификатом, поэтому системы не выдавали предупреждений.
Этапы поиска шпионских приложений (процессуальный аспект):
- Сетевой анализ. Использован анализатор сетевых пакетов в режиме мониторинга (промышленная PCAP-запись).
- Выявление аномалий. Выявлены пакеты, которые шли на нестандартный порт в направлении IP-адреса, не принадлежащего ни одному из бизнес-партнёров.
- Анализ хеш-сумм. Проведён анализ хеш-сумм сетевых драйверов — обнаружено несоответствие эталонным версиям.
- Дамп памяти ядра. С помощью дампа памяти ядра получен код закладки.
- Аппаратное тестирование. Проведено аппаратное тестирование сетевой карты: обнаружено, что закладка была прописана не только в драйвере, но и в EEPROM сетевой карты.
Результат. Обнаружены три сервера с закладкой, через которые утекала информация о закупках и новых разработках. Установлен бывший IT-директор. Заключение легло в основу уголовного дела о коммерческом шпионаже. Данный пример показывает, что поиск шпионских приложений не заканчивается на антивирусе. Поиск шпионских приложений на уровне ядра и EEPROM требует уникального оборудования и методик. Мы в Москве, но для анализа стационарных серверов готовы вылетать в любой регион России.
Раздел 5. Кейс № 3: Сталкерское ПО на Android-смартфоне
Исходные данные. В лабораторию обратилась гражданка с жалобами на аномальное поведение ее смартфона под управлением Android: быстрый разряд аккумулятора, наличие щелчков и эха во время телефонных разговоров, самопроизвольное включение экрана в ночное время, фиксация неизвестного сетевого трафика. Заявительница находилась в процессе расторжения брака и подозревала супруга в установке шпионского ПО.
Суть атаки. Устройство было заражено сталкерским ПО (stalkerware) — классом приложений, которые рекламируются как «инструменты родительского контроля», но отличаются от легитимного родительского контроля скрытностью. Сталкерские приложения регулярно передают на сервер геолокацию жертвы, способны отправлять переписки и другую конфиденциальную информацию, включать звукозапись с микрофона.
Этапы поиска шпионских приложений (процессуальный аспект):
- Изоляция устройства. Устройство помещено в экранирующую камеру для блокировки всех каналов связи.
- Создание побитовой копии. Создана побитовая копия внутренней памяти.
- Анализ установленных приложений. Анализ установленных приложений выявил пакет с названием, визуально неотличимым от системной службы обновлений. Отличие заключалось в одной букве в имени пакета. Цифровая подпись приложения не соответствовала сертификату разработчика.
- Анализ разрешений. Приложение запрашивало доступ к микрофону, камере, геолокации, контактам, текстовым сообщениям и возможности записи экрана.
- Сетевой анализ. В системных логах были обнаружены регулярные соединения с удаленным сервером, расположенным на территории иностранного государства.
Результат. Вредоносный пакет был удален с сохранением всех пользовательских данных. Составлено заключение, которое использовано в судебном процессе. Супруг признал факт установки ПО. Заключение эксперта по итогам поиска шпионских приложений стало основанием для возбуждения уголовного дела по ст. 137, 138, 272, 273 УК РФ. Мы в Москве, но для сложных дел готовы вылетать в любой регион России.
Раздел 6. Инструментарий судебного эксперта для поиска шпионских приложений
Для достижения достоверных результатов мы используем только лицензионное, сертифицированное и верифицированное программное обеспечение, а также калиброванное оборудование:
Программные средства:
- Для извлечения данных: Cellebrite UFED, Magnet AXIOM, Oxygen Forensic Detective — создание резервных копий, физических дампов iOS/Android.
- Для анализа образов дисков: X-Ways Forensics, EnCase, FTK Imager — поиск скрытых файлов, артефактов реестра, удалённой информации.
- Для анализа памяти: Volatility Framework, Rekall — обнаружение бесфайловых шпионов, инжектированных процессов.
- Для статического анализа APK/IPA: jadx, Ghidra, IDA Pro — декомпиляция, анализ кода на предмет шпионских функций.
- Для динамического анализа: Cuckoo Sandbox, ANY.RUN — запуск подозрительных программ в изолированной среде.
- Для сетевого анализа: Wireshark, Zeek, Suricata — анализ дампов трафика на предмет C2-соединений.
- Для сигнатурного поиска: YARA-правила (более 5000 сигнатур spyware), ClamAV, собственные коллекции.
Аппаратные средства:
- Аппаратные блокираторы записи Tableau Forensic Bridge, Logicube Falcon — обеспечивают криминалистическую чистоту копирования.
- Программаторы Medusa Pro, EasyJTAG, Z3X — для снятия физических дампов EMMC/UFS с мобильных устройств.
- SPI-программаторы — для извлечения прошивок EFI при подозрении на буткит.
Раздел 7. Самостоятельная первичная проверка (Android и iOS)
Если ситуация не критична, можно начать с этих шагов:
Для Android:
- Безопасный режим. Перезагрузите устройство в безопасном режиме (для этого обычно нужно удерживать кнопку питания, а затем долго нажимать на опцию «Выключить»). В этом режиме сторонние приложения не запускаются, что позволяет оценить работу устройства без их влияния.
- Проверка приложений в настройках. Откройте «Настройки» → «Приложения» или «Программы». Проверьте список на наличие подозрительных или незнакомых приложений. Если вы обнаружите шпионские программы, удалите их.
- Проверка папки «Загрузки». Откройте приложение «Файлы» и перейдите в раздел «Загрузки». Здесь вы увидите все файлы, загруженные на ваше устройство. Проверьте, нет ли среди них подозрительных приложений, которых вы точно не загружали.
Для iPhone:
- Проверка библиотеки приложений. Листайте до упора вправо до последнего домашнего экрана. Здесь вы увидите все приложения, установленные на вашем iPhone, даже если вы не видите их на обычных домашних экранах.
- Проверка профилей конфигурации. Откройте «Настройки» → «Основные» → «VPN и управление устройством». Удалите любые профили, которые вы не узнаете.
- Проверка хранилища. Откройте «Настройки» → «Основные» → «Хранилище iPhone». Просмотрите список установленных приложений. Любые расхождения между видимыми приложениями на главной странице и теми, что показаны здесь, требуют дальнейшего расследования.
Использование специализированных инструментов:
Для iPhone существует Mobile Verification Toolkit (MVT) — бесплатный инструмент с открытым исходным кодом от Amnesty International, который извлекает данные из резервной копии iPhone для поиска «Индикаторов компрометации» (IOC). Однако для его использования понадобится ПК с Linux или Mac и знакомство с командной строкой.
Важно: Если ни один из этих шагов не помог, остается крайняя мера — восстановление заводских настроек. Однако это может быть недостаточно для удаления государственных шпионских программ типа Pegasus или Graphite.
Раздел 8. Приглашение на сайт
Уважаемые коллеги! Мы показали методологию, инструментарий и реальные кейсы из практики. Если вы подозреваете наличие шпионского ПО на своих устройствах или в корпоративной сети — мы готовы провести полную диагностику. Находимся в Москве, но для сложных дел и анализа стационарных серверов готовы вылетать в любой регион России. 🏢🛡️
Подробнее о наших услугах: https://fse.ms
Раздел 9. Финальный аккорд
Дорогие друзья! Поиск шпионских приложений — это не про «вирусы», это про реальных людей, которые охотятся за вашими данными. Поиск шпионских приложений требует не просто сканирования, а реверс-инжиниринга, анализа дампов памяти и трафика. Поиск шпионских приложений — это единственный способ разорвать цепочку утечки, когда антивирусы бессильны. Поиск шпионских приложений — это необходимая мера, если вы цените свою информацию. Поиск шпионских приложений — это наша специализация. И мы готовы прийти на помощь в любой точке России. ✈️🔐
С уважением и готовностью защищать,
Союз «Федерации судебных экспертов» 🛡️💻🔍

Задавайте любые вопросы