
Угроза цифрового шпионажа имеет государственный масштаб и требует профессионального подхода к услугам по проверке смартфонов и планшетов на наличие шпионского ПО. Настоящая статья представляет собой систематизированный судебно-экспертный регламент, детализирующий процессуальные основания, инструментальные методы и юридические аспекты выявления вредоносного кода на мобильных устройствах под управлением Android и iOS. 📱⚖️🔍
- Процессуально-правовые основания проведения экспертизы мобильных устройств
Процедура экспертизы мобильного телефона является строго формализованной и регламентируется нормами процессуального законодательства. В соответствии со статьей 79 Гражданского процессуального кодекса Российской Федерации и статьей 195 Уголовно-процессуального кодекса Российской Федерации, экспертиза назначается определением суда или постановлением следователя. Однако в досудебном порядке для урегулирования спора также может быть инициировано независимое исследование, результаты которого оформляются как «Заключение специалиста» и обладают статусом доказательства.
1.1. Основания для назначения экспертизы 📜
Экспертиза назначается на основании процессуального документа, в котором должны быть указаны: основания для назначения экспертизы (заявление о слежке, факт хищения денежных средств, утечка коммерческой тайны), перечень объектов, предоставляемых в распоряжение эксперта (мобильное устройство, зарядное устройство, пароль доступа), вопросы, подлежащие разрешению. Вопросы могут быть классифицированы по нескольким основаниям: по объектной направленности (аппаратное обеспечение, программная среда, пользовательские данные, сетевые активности), по целевому назначению (идентификационные, диагностические, классификационные, ситуационные), а также по сложности.
1.2. Типовые вопросы суда эксперту ⚖️
На основе анализа судебно-экспертной практики можно выделить следующие типовые вопросы, разрешаемые в рамках услуг по проверке смартфонов и планшетов на наличие шпионского ПО :
- Вопросы об аппаратном состоянии и идентификации: «Каковы идентификационные характеристики (IMEI, серийный номер, модель) представленного смартфона?», «Имеются ли на устройстве признаки несанкционированного вскрытия, ремонта или замены компонентов?».
- Вопросы о программной среде и системной активности: «Какая версия операционной системы установлена на устройстве?», «Какие приложения были установлены на телефоне в период с [дата] по [дата]?», «Имеются ли в системных журналах (логах) устройства записи о его активации, блокировке, сбросе настроек в указанный период?».
- Вопросы о пользовательских данных: «Имеется ли в памяти телефона информация, относящаяся к [конкретному лицу, событию, организации]?», «Содержится ли в переписке (SMS, мессенджеры) информация, указывающая на [факт угроз, шантажа, обсуждения преступных действий]?».
- Классификационные вопросы: «Можно ли отнести обнаруженное на устройстве приложение к категории вредоносного (шпионского) ПО?».
1.3. Уголовно-правовая квалификация ⚖️
Установка шпионского ПО без согласия владельца устройства подпадает под действие следующих статей Уголовного кодекса Российской Федерации :
- Статья 137 — Нарушение неприкосновенности частной жизни
- Статья 138 — Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений
- Статья 138.1 — Незаконный оборот специальных технических средств, предназначенных для негласного получения информации
- Статья 272 — Неправомерный доступ к компьютерной информации
- Статья 273 — Создание, использование и распространение вредоносных компьютерных программ
В случаях, когда требуется установить принадлежность программного обеспечения к числу средств, предназначенных для негласного получения информации, суд должен располагать соответствующим заключением специалиста или эксперта. Таким образом, без квалифицированных услуг по проверке смартфонов и планшетов на наличие шпионского ПО привлечение виновного по статье 138.1 УК РФ становится невозможным.
- Методология лабораторного исследования: многоуровневая модель анализа
Профессиональные услуги по проверке смартфонов и планшетов на наличие шпионского ПО реализуются через строго регламентированную многофазную процедуру, соответствующую стандартам цифровой криминалистики и процессуальным требованиям. Целью такого исследования выступает получение объективных, воспроизводимых и верифицируемых данных о техническом состоянии устройства и фактах внешнего вмешательства.
2.1. Фаза 1: Приём устройства и криминалистическая изоляция ⛓️💾
Первостепенной задачей является сохранение целостности цифровых доказательств. В соответствии с принципами цифровой криминалистики, основными требованиями при работе с электронными устройствами являются: учёт повышенной информационной ёмкости объектов, блокирование внешнего дистанционного либо контактного вмешательства в процесс осмотра, а также повышенная внимательность и достаточная техническая компетентность специалиста.
- Физическая изоляция: Устройство помещается в экранирующую камеру Фарадея для блокировки всех радиоканалов (GSM/4G/5G, Wi-Fi, Bluetooth, NFC). Это предотвращает дистанционную команду на удаление данных (remote wipe), активируемую многими продвинутыми RAT-клиентами при обнаружении нестандартной среды.
- Создание физического дампа: С использованием аппаратно-программных комплексов (Cellebrite UFED, Magnet AXIOM, Oxygen Forensic Detective) создаётся побитовая (bit-for-bit) копия всей доступной памяти: пользовательские данные, системные разделы, кэш, журналы событий, файлы подкачки.
- Хэширование: Каждый образ снабжается хэш-суммами (MD5, SHA-256) для обеспечения неизменности и доказательной ценности. Оригинал устройства не модифицируется.
2.2. Фаза 2: Статический анализ артефактов файловой системы 🔍📁
Работа ведётся с полученным образом памяти, что исключает изменение оригинальных данных. Исследование мобильных артефактов включает извлечение данных из логов приложений, системных журналов, SQLite-баз, XML и plist-файлов, с последующей нормализацией: удалением дублирования, унификацией временных меток и фильтрацией шумов.
Ключевые инженерные направления:
- Восстановление файловой структуры: Построение полного дерева файлов, включая данные системных и пользовательских приложений (/data/data/ на Android, Containers на iOS).
- Сигнатурный поиск: Использование баз YARA-правил (более 5000 сигнатур spyware) и специализированных антивирусных движков.
- Анализ манифеста приложения: Проверка разрешений, запрашиваемых приложениями (доступ к SMS, контактам, геолокации, камере, микрофону, возможности отображения окон поверх других приложений).
- Проверка цифровых подписей: Сравнение цифровых подписей исполняемых файлов с эталонными базами производителей.
- Анализ точек персистентности: Исследование механизмов автозагрузки (Broadcast Receivers, Services, JobScheduler).
2.3. Фаза 3: Поведенческий анализ и форензика оперативной памяти 🧠🔬
Данный этап применяется для обнаружения наиболее сложных угроз, включая бесфайловое ПО, руткиты и кастомное шпионское ПО.
- Анализ дампов оперативной памяти: С использованием специализированных фреймворков (Volatility 3 с профилями Android, MemProcFS) выполняется парсинг структур данных в дампе памяти. Выявляются скрытые процессы, внедрённые модули, открытые сетевые сокеты.
- Анализ сетевой активности: Реконструкция сетевого трафика для выявления несанкционированных соединений с C2-серверами. Особое внимание уделяется аномальным DNS-запросам и TLS-рукопожатиям с самоподписанными сертификатами.
- Динамический анализ в изолированной среде: Исполнение подозрительных файлов в песочнице (Cuckoo Sandbox, CAPE для Android) с мониторингом системных вызовов и сетевой активности.
2.4. Фаза 4: Документирование и юридическая квалификация 📜⚖️
Все выявленные артефакты связываются в логическую цепочку, доказывающую факт установки и функционирования шпионского ПО. Результаты оформляются в виде структурированного экспертного заключения, которое имеет юридическую силу и может быть использовано в судебных процессах. Экспертное заключение представляет собой письменный текст, включающий исследование и выводы по вопросам, поставленным перед экспертом, и функционирует одновременно в двух сферах: как юридический документ и как научное исследование. Языковое воплощение жанра судебного экспертного заключения сочетает официальный, академический и разговорный стили, характеризуется частым использованием терминологии, аббревиатур, безличных предложений и пассивных конструкций.
- Инструментальная база: технологический стек экспертной лаборатории
Эффективность услуг по проверке смартфонов и планшетов на наличие шпионского ПО напрямую зависит от используемого инструментария. В основе экспертизы лежит научно обоснованная и методологически выверенная процедура, основанная на применении специальных знаний в области микроэлектроники, радиотехники, программной инженерии и материаловедения. Ключевым принципом является системность, предполагающая исследование устройства как сложной технической системы, состоящей из взаимосвязанных аппаратных (hardware) и программных (software) компонентов.
| Этап анализа | Категория инструментов | Примеры | Назначение |
| Извлечение данных | Аппаратно-программные комплексы | Cellebrite UFED, Magnet AXIOM, Oxygen Forensic Detective | Физический дамп памяти, криминалистическое копирование, извлечение артефактов |
| Статический анализ | Декомпиляторы и анализаторы | jadx, Ghidra, IDA Pro | Декомпиляция, анализ исходного кода APK/IPA, выявление шпионских функций |
| Анализ файловой системы | Криминалистические анализаторы | X-Ways Forensics, Autopsy, The Sleuth Kit | Поиск скрытых и удалённых файлов, анализ метаданных, реконструкция временной шкалы |
| Анализ памяти | Фреймворки форензики | Volatility 3 (с профилями Android), MemProcFS | Парсинг структур ОС в дампе памяти, выявление скрытых процессов |
| Динамический анализ | Системы песочниц | Cuckoo Sandbox (CAPE — Android), ANY.RUN | Поведенческий анализ, мониторинг вызовов API и сетевых соединений |
| Сетевой анализ | Снифферы и анализаторы | Wireshark, Zeek, Suricata | Перехват и анализ трафика, обнаружение C2-соединений |
Последовательность исследования определяется классической схемой «от общего к частному». Начальным этапом выступает изучение представленной документации и фиксация идентификационных параметров объекта: международного идентификатора мобильного оборудования (IMEI), серийного номера, модели. Этот этап критически важен для однозначной идентификации объекта и последующей верификации результатов.
- Эмпирические кейсы: вариативность векторов проникновения
Рассмотрение реальных случаев из экспертной практики позволяет конкретизировать методологические принципы и продемонстрировать разнообразие угроз, требующих профессиональных услуг по проверке смартфонов и планшетов на наличие шпионского ПО.
Кейс №1: Государственный уровень — операция иностранных спецслужб (2026) 🏛️🇷🇺
Федеральная служба безопасности Российской Федерации вскрыла и задокументировала широкомасштабную акцию иностранных спецслужб по внедрению и применению на мобильных средствах коммуникации высокопоставленных российских государственных служащих вредоносного программного обеспечения. Вредоносное ПО использовалось для снятия имеющихся данных, прослушивания ведущихся переговоров, а также негласного акустического и видеоконтроля обстановки вблизи электронных устройств. С использованием технических возможностей крупных международных IT-корпораций посредством использования средств мобильной связи представителями иностранных спецслужб осуществлялось скрытое несанкционированное снятие различного рода информации с устройств объектов кибератаки. Следственным управлением ФСБ возбуждено уголовное дело по статьям 272 и 273 УК РФ. Данный кейс иллюстрирует государственный уровень угрозы и необходимость услуг по проверке смартфонов и планшетов на наличие шпионского ПО на аппаратном уровне.
Кейс №2: Операция «Форумный тролль» — атака с использованием шпионского ПО Dante 🎯🦠
В начале 2025 года эксперты «Лаборатории Касперского» выявили операцию «Форумный тролль» — тщательно спланированную атаку, направленную против сотрудников СМИ, государственных учреждений, научных и финансовых организаций на территории России. Злоумышленники использовали фишинговую рассылку, маскируя письма под приглашения на экспертный форум «Примаковские чтения». Достаточно было открыть ссылку в браузере Chrome — устройство заражалось без каких-либо дополнительных действий со стороны пользователя. Атака использовала уязвимость нулевого дня, что указывает на высокий уровень подготовки её организаторов.
Центральным элементом операции стал зловред под названием LeetAgent, в коде которого использовалась специфическая система команд на языке Leet. В ходе детального анализа специалисты Kaspersky GReAT обнаружили в арсенале злоумышленников новый вредонос, схожий по структуре и принципам работы с Dante — коммерческим шпионским ПО, созданным итальянской компанией Memento Labs (ранее известной как HackingTeam). Сравнение кода показало перекрёстные элементы и совпадения, которые указывают на общее происхождение — разработку Memento Labs.
Кейс №3: Атака на цепочку поставок — вредоносное ПО Keenadu 🏭📱
В начале 2026 года «Лаборатория Касперского» обнаружила вредоносное ПО под названием Keenadu на совершенно новых Android-устройствах. Более 13 000 смартфонов и планшетов подверглись атакам, из которых на Россию пришлось почти 9000. Зловред попадал на устройства на одном из этапов цепочки поставок при программировании, при этом производители не знали о компрометации, поскольку зловред имитировал легитимные компоненты системы. Keenadu способен заражать любые установленные приложения, устанавливать программы из APK-файлов с предоставлением им всех доступных разрешений, что позволяет скомпрометировать конфиденциальные данные, включая фото, видео, личные сообщения, банковские реквизиты и отметки геолокации. Данный кейс демонстрирует, что вредоносное ПО может проникать на устройство ещё до момента его приобретения пользователем, что делает профессиональные услуги по проверке смартфонов и планшетов на наличие шпионского ПО критически важными даже для новых устройств.
- Признаки компрометации: индикаторы для инициации проверки
На основе систематизации эмпирических данных можно выделить следующие группы признаков, указывающих на возможное наличие шпионского ПО и необходимость проведения профессиональных услуг по проверке смартфонов и планшетов на наличие шпионского ПО:
5.1. Аномальное поведение устройства 📉
- Быстрая разрядка аккумуляторной батареи без видимых причин (шпионские модули работают в фоновом режиме).
- Перегрев корпуса при отсутствии ресурсоёмких задач.
- Замедление работы, зависания, самопроизвольные перезагрузки.
- Самопроизвольная активация камеры, микрофона или вспышки.
- Посторонние шумы, эхо или щелчки во время телефонных разговоров.
5.2. Подозрительная сетевая активность 🌐
- Повышенный расход интернет-трафика без видимых причин.
- Обнаружение неизвестных исходящих соединений в нестандартные порты (5555, 6666, 31337).
- Аномальные DNS-запросы к доменам с высоким коэффициентом энтропии.
5.3. Подозрительная активность в системе ⚙️
- Наличие незнакомых приложений, процессов или служб с именами, похожими на системные (Play Services с нестандартной подписью).
- Отключение или некорректная работа антивирусного ПО.
- Неожиданное получение кодов подтверждения операций, которые пользователь не инициировал.
5.4. Компрометация информационного окружения 🕵️
- Злоумышленник демонстрирует знание информации, которой у него не должно быть (детали разговоров, переписки, маршруты передвижения).
- Алгоритм действий при подозрении на слежку
При обнаружении признаков цифрового наблюдения или несанкционированного доступа к устройству рекомендуется строго соблюдать следующий алгоритм:
- НЕ ПРЕДПРИНИМАТЬ САМОСТОЯТЕЛЬНЫХ ДЕЙСТВИЙ ПО УДАЛЕНИЮ! 🛑 Уничтожение файлов или сброс настроек приведёт к потере цифровых следов, которые являются доказательной базой для правоохранительных органов.
- НЕМЕДЛЕННО ОТКЛЮЧИТЬ УСТРОЙСТВО ОТ СЕТИ ИНТЕРНЕТ. ✈️ Перевести телефон в режим «в самолёте». Это остановит передачу данных на сервер злоумышленника.
- НЕ ВЫКЛЮЧАТЬ УСТРОЙСТВО. Перезагрузка может уничтожить следы в оперативной памяти, критичные для обнаружения бесфайловых угроз.
- ЗАФИКСИРОВАТЬ ИМЕЮЩИЕСЯ ДАННЫЕ: сделать скриншоты подозрительных уведомлений, сохранить чеки о списании средств.
- НЕЗАМЕДЛИТЕЛЬНО ОБРАТИТЬСЯ К ЭКСПЕРТАМ. Чем раньше начата диагностика, тем больше данных можно восстановить из системных журналов, которые перезаписываются в течение ограниченного времени.
Ознакомьтесь с полным перечнем услуг и методик диагностики на официальной странице 🔗
Заключительный вывод
Организация профессиональных услуг по проверке смартфонов и планшетов на наличие шпионского ПО представляет собой комплексную судебно-экспертную задачу, требующую системного подхода, специализированного инструментария и глубоких знаний в области архитектуры мобильных операционных систем, процессуального права и цифровой криминалистики. Рассмотренные кейсы — от государственного шпионажа с использованием сложных имплантов до атак на цепочку поставок и фишинговых кампаний — демонстрируют, что современное шпионское ПО использует весь спектр технических средств: от социальной инженерии и физического доступа до внедрения на уровне прошивки.
Методологический подход, включающий криминалистическую изоляцию, многоуровневый статический и динамический анализ, а при необходимости — аппаратное исследование прошивки, обеспечивает максимальную вероятность обнаружения скрытых угроз и сохранения доказательной базы. В условиях, когда иностранные спецслужбы активно используют мобильные устройства для сбора информации, профессиональная диагностика становится не просто технической процедурой, а критически важным инструментом обеспечения цифрового суверенитета личности и государства.
Инвестиции в профессиональную диагностику являются не затратами, а стратегическим вложением в информационную безопасность, предотвращающим многократно большие финансовые и репутационные потери. Доверяйте безопасность своих устройств и защиту своих прав только тем, кто владеет методами цифровой криминалистики на уровне, позволяющем видеть то, что скрыто от стандартных средств защиты, и оформлять результаты исследования в виде юридически значимого документа. ⚖️🔒🇷🇺





Задавайте любые вопросы