
Наша экспертная организация расположена в Москве. Однако, учитывая территориальную распределённость объектов исследования (серверное оборудование и рабочие станции часто находятся в удалённых регионах), для сложных дел, требующих анализа стационарных серверов, мы готовы вылетать в любой регион России. Физический доступ к оборудованию — это краеугольный камень методически верного выявления программ-шпионов на смартфоне и ПК, особенно когда речь идет о серверных стойках, RAID-массивах и промышленных контроллерах. 🚁🖥️
Раздел 1. Научные основы таксономии шпионских программ
Эффективное выявление программ-шпионов на смартфоне и ПК требует четкого понимания их таксономии и механизмов функционирования. В научной литературе шпионские программы классифицируются по нескольким ортогональным признакам, что является основой для выбора методики обнаружения.
Классификация по целевому назначению и функционалу:
- Кейлоггеры (Keyloggers): Записывают нажатия клавиш, фиксируя пароли, переписки, вводимые тексты. Подразделяются на аппаратные (внедряются на уровне контроллера клавиатуры, требуют физического доступа) и программные (внедряются в виде драйверов, хуков в оконную подсистему или модифицируют библиотеки ввода). Исследователи СПб ФИЦ РАН разработали подход, который ищет следы присутствия кейлоггеров в сетевом трафике, используя методы искусственного интеллекта для мониторинга подозрительной сетевой активности. ⌨️
- Трояны удаленного доступа (RAT — Remote Access Trojan): Обеспечивают полный контроль над системой: активацию камеры и микрофона, геолокацию в реальном времени, извлечение файлов, перехват сообщений из шифрованных мессенджеров. Часто используют легитимные протоколы (RDP, VNC) для маскировки. Соответствуют тактике MITRE ATT&CK T1219 — Remote Access Software. 📡
- Информационные сборщики (Data Stealers): Специализируются на поиске и извлечении конкретных данных: файлов по расширению, кэшей браузеров, данных из клиентов мессенджеров (T1005 — Data from Local System).
- Сталкерское ПО (Stalkerware): Коммерческие пакеты (mSpy, FlexiSPY), изначально разработанные для родительского контроля, но используемые для скрытого слежения за супругами или сотрудниками без их согласия. Часто маскируются под системные процессы и имеют легитимные цифровые подписи, что затрудняет их обнаружение стандартными антивирусными средствами. 📱
- Сетевые снифферы (Sniffers): Перехватывают сетевые пакеты на зараженном хосте (T1040 — Network Sniffing).
- Скриншотеры (Screen Capture): Регулярно или по событию делают снимки экрана (T1113 — Screen Capture).
Классификация по стелс-технологиям и устойчивости:
- User-Mode Rootkits: Маскируют процессы, файлы, ключи реестра на уровне приложений.
- Kernel-Mode Rootkits: Внедряются в ядро ОС, перехватывая системные вызовы (T1014 — Rootkit). Обнаружение требует анализа целостности ядра.
- Буткиты (Bootkits): Заражают загрузочные секторы (MBR, UEFI) и активируются до загрузки ОС (T1542.001 — Pre-OS Boot: System Firmware). Исследования показывают, что шпионское ПО может внедряться в прошивку на уровне SPI Flash, что делает его практически невидимым для традиционных антивирусных средств. Метод BIOSIC позволяет обнаруживать такие атаки путем верификации целостности исполняемого кода прошивки на основе сравнения OEM-версий и аппаратных спецификаций SPI.
- Бесфайловые угрозы (Fileless Malware): Исполняются в памяти, используя легитимные процессы и скриптовые движки (PowerShell, WMI) (T1059.001 — Command and Scripting Interpreter: PowerShell). Особенность таких угроз — они не оставляют следов на диске, что делает их обнаружение крайне сложным.
Выявление программ-шпионов на смартфоне и ПК должно учитывать все эти категории, поскольку современные образцы часто комбинируют несколько технологий маскировки одновременно. По данным научных исследований, статический анализ позволяет быстро собрать информацию о шпионском ПО без его запуска, а динамический анализ — получить информацию о поведении программы в виртуализированной среде.
Раздел 2. Современные методы обнаружения на основе машинного обучения
Научные исследования последних лет демонстрируют значительный прогресс в области обнаружения программ-шпионов с использованием методов искусственного интеллекта и машинного обучения. Традиционные сигнатурные методы недостаточно эффективны против быстро развивающихся, скрытых или изменяющихся форм шпионского ПО, тогда как AI и ML предоставляют адаптивные, управляемые данными решения.
Многоканальный подход ATSDetector: В работе, опубликованной в журнале Computers & Security (2025), представлен подход ATSDetector для обнаружения Android-троянов-шпионов на основе множественных поведенческих признаков. Исследование показывает, что существующие подходы, основанные на одном признаке (статическая информация, внутреннее поведение и внешнее поведение), имеют низкую точность. ATSDetector использует многоканальный алгоритм обнаружения, поддерживаемый гетерогенной информацией, и механизм обмена весами для установления корреляции между различными поведенческими признаками. Результаты экспериментов демонстрируют точность оценки, достигающую 96,81%, с коэффициентом каппа около 93,62%.
Гибридный метод на основе генетического алгоритма: В исследовании, опубликованном в Journal of Physical Chemistry and Functional Materials (2024), предлагается гибридный метод обнаружения шпионского ПО на основе анализа сетевых пакетов в среде Windows. Метод использует деревья решений (DT) и генетические алгоритмы (GA) с метаэвристическим подходом. В ходе экспериментов были собраны данные с использованием различных приложений-шпионов (Spyera, Browser Hijacker), извлечение признаков выполнялось с помощью программного обеспечения Tshark. Эффективность метаэвристик по сравнению с математическим методом анализа соседних компонентов (NCA) была продемонстрирована на эталонном наборе данных. Для четырех классов (нормальный трафик, скриншоты, позиция мыши, кейлоггер) было собрано 3007 примеров.
Анализ эволюции сталкерского ПО: Исследователи Университета Флориды провели систематический анализ корпуса из 8 428 образцов Android-сталкерского ПО, собранных до декабря 2022 года. Анализ показал, что 6 646 образцов (78,99%) появились после 2020 года, что свидетельствует о том, что корпус отражает новейшие тенденции в развитии сталкерского ПО.
Обнаружение кейлоггеров через анализ сетевого трафика: Ученые СПб ФИЦ РАН разработали подход, который ищет следы присутствия кейлоггеров в сетевом трафике. В основе решения лежат несколько методов искусственного интеллекта, которые могут мониторить трафик пользователя или организации и сигнализировать при обнаружении подозрительной сетевой активности, похожей на работу кейлоггеров.
Выявление программ-шпионов на смартфоне и ПК с использованием этих методов позволяет значительно повысить точность обнаружения и снизить количество ложных срабатываний.
Раздел 3. Правовое поле и нормативное регулирование
Выявление программ-шпионов на смартфоне и ПК должно опираться на чёткую правовую основу, поскольку без юридической квалификации техническая находка не имеет доказательной силы. В российском правовом поле установка такого ПО без согласия пользователя подпадает под действие статей 137 (Нарушение неприкосновенности частной жизни) и 272 (Неправомерный доступ к компьютерной информации) Уголовного кодекса РФ, а также ст. 10 Федерального закона № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
Статья 138.1 УК РФ — «Незаконный оборот специальных технических средств, предназначенных для негласного получения информации» является основной для квалификации деяний, связанных с распространением и использованием коммерческих программ-шпионов (stalkerware). Федеральными законами от 2 августа 2019 г. № 308-ФЗ и № 314-ФЗ в УК РФ введено легальное определение таких средств: программное обеспечение для электронных вычислительных машин и других электронных устройств для доступа к информации и (или) получения информации с технических средств ее хранения, обработки и (или) передачи, которым намеренно приданы свойства для обеспечения функции скрытого получения информации либо доступа к ней без ведома ее обладателя.
Статья 272 УК РФ — «Неправомерный доступ к компьютерной информации» применяется в случаях, когда программа-шпион копирует, модифицирует или удаляет данные без согласия владельца устройства.
Статья 273 УК РФ — «Создание, использование и распространение вредоносных программ» охватывает случаи, когда шпионское ПО обладает способностью к самораспространению или модифицирует системные файлы.
Статья 183 УК РФ — «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну» применяется в делах о корпоративном шпионаже.
Важнейшая задача эксперта при выявлении программ-шпионов на смартфоне и ПК — доказать не просто наличие ПО, а его скрытный характер и отсутствие информированного согласия пользователя.
Раздел 4. Методология выявления: многоуровневый подход
Процесс выявления программ-шпионов на смартфоне и ПК строится по принципу «от простого к сложному» и обязательно документируется на каждом шагу. Методология базируется на принципе последовательного перехода от анализа внешних проявлений (аномалий) к исследованию низкоуровневых артефактов.
Уровень 1: Поведенческий и сигнатурный анализ
Цель — выявление аномалий, указывающих на возможное присутствие шпионского ПО.
- Мониторинг сетевой активности: Анализ исходящих соединений с помощью netstat, Wireshark. Поиск beacon-трафика — периодических обращений к C2-серверу. Использование репутационных баз IP-адресов и доменов (VirusTotal, AlienVault OTX).
- Анализ потребления ресурсов: Мониторинг загрузки ЦП, оперативной памяти и дискового ввода-вывода через Performance Monitor (Windows) или top/iostat (Linux). Шпионские программы могут проявляться всплесками активности.
- Сигнатурное сканирование: Использование антивирусных движков (ClamAV, YARA-правила). Эффективность ограничена для неизвестных или полиморфных угроз.
Уровень 2: Статический анализ артефактов
Анализ данных на носителях без их выполнения.
- Анализ автозагрузки: Исследование всех точек персистентности: ключи реестра (Run, RunOnce, службы), папки автозагрузки, планировщик задач (Scheduled Task), DLL-инжекция через AppInit_DLLs или DLL Search Order Hijacking (T1574.001).
- Анализ файловой системы: Поиск скрытых файлов и каталогов, альтернативных потоков NTFS (ADS), теневых копий (VSS). Проверка цифровых подписей исполняемых файлов на предмет подделки.
- Анализ памяти (RAM Forensics): Получение дампа с помощью WinPmem, LiME (Linux). Последующий анализ в Volatility Framework позволяет выявить: скрытые процессы (pslist, psscan), внедренные в процессы DLL-библиотеки (dlllist), открытые сетевые сокеты (netscan), хуки в системные структуры ядра (apihooks, ssdt).
Уровень 3: Динамический и низкоуровневый анализ
Наиболее сложный и эффективный этап, проводимый в изолированной среде.
- Анализ в песочнице (Sandboxing): Исполнение подозрительных образцов в виртуализированной среде с мониторингом всех действий: изменения в файловой системе и реестре, создание процессов, сетевые соединения. Инструменты: Cuckoo Sandbox, ANY.RUN, CAPE. Динамический анализ позволяет отслеживать изменения в файловой системе, реестре, сетевой активности и процессе выполнения в изолированной среде.
Индикаторы заражения в динамике:
- Попытки доступа к $MFT, SAM, SECURITY, SYSTEM
- Вызов SetWindowsHookEx (клавиатурный шпион)
- Чтение буфера обмена (GetClipboardData)
- Отправка данных на неизвестные IP (особенно в нестандартные порты: 5555, 6666, 31337)
- Создание скрытых окон (с параметром WS_EX_TOOLWINDOW)
- Отладка и реверс-инжиниринг: Дизассемблирование и анализ кода с помощью IDA Pro, Ghidra, radare2. Цель — восстановление логики работы, алгоритмов шифрования, методов маскировки.
- Анализ загрузочной среды и аппаратного уровня: При подозрении на буткит — анализ MBR/UEFI с помощью dd для создания образа загрузочного сектора и последующего сравнения с эталоном. Для аппаратных кейлоггеров требуется физический осмотр портов и использование анализаторов протоколов (USB). Метод BIOSIC позволяет обнаруживать атаки на уровне прошивки путем верификации целостности исполняемого кода SPI Flash.
Раздел 5. Инструментальные средства и технологический стек
Эффективность выявления программ-шпионов на смартфоне и ПК напрямую зависит от используемого инструментария.
| Этап анализа | Категория инструментов | Конкретные примеры | Назначение |
| Сбор артефактов | Криминалистические сборщики | FTK Imager, Magnet AXIOM, Belkasoft Live RAM Capturer, Cellebrite UFED | Создание посекторной копии диска (dd-образ), дампа оперативной памяти, извлечение ключей реестра |
| Статический анализ | Анализаторы памяти | Volatility Framework, Rekall, MemProcFS | Парсинг структур данных ОС в дампе памяти для поиска аномалий |
| Статический анализ | Анализаторы файловых систем | Autopsy, The Sleuth Kit, X-Ways Forensics, EnCase | Построение временной шкалы событий, поиск удаленных файлов, анализ метаданных |
| Динамический анализ | Системы песочниц | Cuckoo Sandbox, ANY.RUN, Joe Sandbox, CAPE | Автоматизированный отчет о поведении образца: вызовы API, созданные файлы, сетевые подключения |
| Реверс-инжиниринг | Отладчики и дизассемблеры | IDA Pro, Ghidra, x64dbg, Binary Ninja | Графы вызовов функций, строковые константы, алгоритмы обфускации |
| Сетевой анализ | Снифферы и анализаторы | Wireshark, NetworkMiner, Zeek (Bro), Suricata | PCAP-файлы трафика, выделенные файлы, реконструированные сессии, статистика |
| Мобильный анализ | Криминалистические комплексы | Cellebrite UFED, Oxygen Forensic, MVT, AndroidQF | Физический дамп мобильных устройств, анализ резервных копий, обнаружение Pegasus и NoviSpy |
| Анализ прошивки | Инструменты для SPI Flash | Chipsec, UEFITool, SPI-программаторы | Проверка целостности прошивки, обнаружение буткитов |
Для сбора данных о шпионском ПО может использоваться Wireshark для захвата сетевых пакетов, с последующим извлечением признаков с помощью Tshark.
Раздел 6. Особенности выявления на мобильных устройствах
Выявление программ-шпионов на смартфоне и ПК на мобильных устройствах имеет свою специфику, обусловленную архитектурными особенностями платформ Android и iOS.
Для Android: Система находится в зоне максимального риска. 97% мобильного вредоносного ПО затрагивает Android. Установка из сторонних источников (APK-файлы) и широкие системные разрешения позволяют шпионским приложениям маскироваться под системные утилиты и работать незаметно.
Методология выявления на Android:
- Анализ списка установленных приложений с правами администратора и специальными разрешениями (наложение поверх других окон, доступ к специальным возможностям — BIND_ACCESSIBILITY_SERVICE)
- Проверка статистики расхода батареи и мобильного трафика на предмет аномалий
- Проверка настроек переадресации (USSD-код *#21#) для выявления перехвата вызовов и сообщений
- Использование специализированных сканеров и инструментов, таких как AndroidQF (Android Quick Forensics) и MobSF (Mobile Security Framework)
- Создание физического дампа через программно-аппаратные комплексы (Cellebrite UFED, Oxygen Forensic) для доступа к системным разделам
Для iOS: iPhone не позволяют сторонним приложениям по-настоящему «скрываться» в фоновом режиме, как они могут это делать на Android. Однако существуют исключения — шпионское ПО уровня Pegasus, использующее уязвимости нулевого дня и атаки с нулевым кликом (zero-click).
Методы выявления на iOS:
- Анализ бэкапа iTunes через MVT (Mobile Verification Toolkit) — обнаруживает индикаторы Pegasus, Reign и Predator
- Поиск MDM-профилей — частая маскировка шпионов
- Индикаторы Pegasus: аномалии в sysdiagnose
Методы выявления скрытых приложений на iPhone:
- Проверка библиотеки приложений — листайте до упора вправо до последнего домашнего экрана
- Проверка профилей конфигурации — Настройки → Основные → VPN и управление устройством
- Проверка хранилища — Настройки → Основные → Хранилище iPhone
Раздел 7. Почему стандартные антивирусы не справляются с выявлением
Самостоятельные попытки диагностики с помощью антивирусов неэффективны против современных угроз, использующих методы обфускации кода, легитимные сертификаты и эксплуатацию неизвестных уязвимостей (zero-day). Шпионское ПО часто пишется под конкретную жертву (custom malware). Его сигнатуры нет в базах.
Сравнение профессиональной экспертизы и потребительских антивирусов:
| Критерий | Профессиональная судебная экспертиза | Потребительские антивирусы |
| Глубина доступа к данным | Физический дамп всей памяти, включая системные разделы и удаленные файлы | Ограниченный доступ в рамках sandbox приложения |
| Методы детектирования | Сигнатурный, эвристический, поведенческий анализ, исследование артефактов ОС, реверс-инжиниринг | Преимущественно сигнатурный анализ |
| Обнаружение stalkerware | Высокая эффективность за счет анализа прав доступа, журналов, сравнения хэшей | Крайне низкая |
| Обнаружение бесфайловых угроз | Да, через анализ памяти | Крайне ограниченное |
| Обнаружение буткитов и атак на прошивку | Да, через анализ EFI/SPI Flash | Нет |
| Доказательная ценность | Формирование юридически значимого заключения с цепочкой доказательств, эксперт предупреждён об ответственности по ст. 307 УК РФ | Отсутствует |
Раздел 8. Кейсы из судебно-экспертной практики 🏛️⚖️
Кейс №1: Семейная слежка на устройстве Android 👨👩👧📱
В лабораторию обратилась гражданка с жалобами на аномальное поведение смартфона: быстрый разряд батареи (с 30 до 5 часов работы), щелчки и эхо во время звонков, неизвестный сетевой трафик около 250 МБ в сутки. Заявительница подозревала супруга в установке шпионского ПО.
Выявление программ-шпионов на смартфоне и ПК выявило приложение с названием, визуально неотличимым от системной службы обновлений (отличие в одной букве). Цифровая подпись приложения не соответствовала сертификату разработчика ОС. Приложение запрашивало доступ к микрофону, камере, геолокации, контактам и текстовым сообщениям. В системных логах обнаружены регулярные соединения с удаленным сервером.
Результат: Вредоносный пакет удален. Составлено заключение для суда. Супруг признал факт установки шпионского ПО.
Кейс №2: Финансовый троян после фишинга 💰📱
Гражданин перешел по фишинговой ссылке от имени банка, ввел логин, пароль и код подтверждения. Через два часа с его счета списано 950 000 рублей.
Выявление программ-шпионов на смартфоне и ПК восстановило цепочку: в системном разделе обнаружено приложение без иконки, установленное в день перехода. Приложение запрашивало доступ к текстовым сообщениям и возможность отображать окна поверх других приложений. Дизассемблирование выявило функции перехвата одноразовых паролей из SMS. Вредонос отправлял украденные данные на сервер, зарегистрированный через подставное лицо.
Результат: Заключение передано в правоохранительные органы и использовано в банке для запуска процедуры страхового возмещения.
Кейс №3: Корпоративный шпионаж (выезд в Московскую область) 🏭
Крупный производитель промышленного оборудования обнаружил, что чертежи новой линейки станков оказались у конкурента. Внутренняя ИБ-служба провела поверхностную проверку, но ничего не нашла.
Ход работ: Выездная группа создала образы дисков всех критичных машин с использованием write-blocker. Выполнен анализ оперативной памяти трёх серверов. Проведена глубокая сверка хешей системных файлов с эталонными образами. На одном из серверов обнаружен руткит уровня ядра, маскирующийся под драйвер файловой системы. Вредонос перехватывал обращения к файлам с расширениями.dwg,.sldprt,.stp и перед отправкой пользователю отправлял копии на внешний сервер. Имплант работал 7 месяцев.
Результат: Предотвращены убытки в размере 90 млн рублей. Экспертное заключение легло в основу судебного решения.
Раздел 9. Процессуальное оформление результатов выявления 📄⚖️
Любая техническая находка имеет юридическую силу только при соблюдении процессуальных норм. Выявление программ-шпионов на смартфоне и ПК, проведенное с нарушением процессуальных норм, не имеет юридической силы.
Экспертиза оформляется в виде Заключения эксперта (для суда, арбитража, следственных органов) в строгом соответствии со ст. 204 УПК РФ, ст. 86 ГПК РФ или ст. 55 АПК РФ. Включает:
- Вводную часть — основания для экспертизы, предупреждение об ответственности за дачу ложного заключения по ст. 307 УК РФ.
- Исследовательскую часть — пошаговое описание действий эксперта, включая использованное ПО и оборудование.
- Выводы — наличие или отсутствие шпионского ПО, его функционал, доказательная база.
- Приложения — CD/DVD с логами, скриншотами, дампами, копиями вредоносных файлов.
Критически важно: Нарушение цепочки хранения доказательств (chain of custody) делает заключение недопустимым доказательством (ст. 75 УПК РФ). Поэтому все носители упаковываются в антистатические пакеты, опечатываются, подписываются понятыми или видеосъёмкой фиксируется каждый этап. Каждый образ снабжается хеш-суммой.
Непрофессиональное выявление программ-шпионов на смартфоне и ПК силами штатного IT-отдела может привести к:
- Уничтожению следов (специалист удаляет «подозрительный файл», а не копирует его)
- Нарушению ст. 138 УК РФ (незаконный доступ к переписке)
- Отклонению доказательств судом (ст. 75 УПК РФ — недопустимые доказательства)
Раздел 10. Приглашение к сотрудничеству 🛡️🔐
Выявление программ-шпионов на смартфоне и ПК — это высокоточная услуга, требующая не только технических знаний, но и понимания процессуальных норм и судебной практики. Наша экспертная организация находится в Москве. Однако для сложных дел, требующих анализа стационарных серверов (в том числе выступающих в качестве C2-панелей для сбора данных со взломанных устройств), мы готовы вылетать в любой регион России — от Калининграда до Камчатки. Физический доступ к оборудованию — это краеугольный камень методически верного выявления программ-шпионов на смартфоне и ПК, особенно когда речь идет о серверных стойках, RAID-массивах и промышленных контроллерах.
Подробнее ознакомиться с информацией о наших услугах в этой сфере вы можете на специализированной странице нашего сайта: https://sud-expertiza.ru/poisk-shpionskih-programm/ 💻
Обратившись к нам, вы сможете получить объективное судебно-экспертное заключение, которое будет принято судом в качестве допустимого доказательства, а также эффективно защитить свои интересы в арбитражных, гражданских и уголовных процессах. Получите квалифицированную помощь сегодня. 🛡️🔐






Задавайте любые вопросы