
📜 Введение: Цифровой шпионаж как системная угроза
В современном цифровом мире угрозы приобрели высокотехнологичный и целенаправленный характер. Шпионское программное обеспечение (spyware) внедряется не только через фишинговые ссылки, но и через аппаратные закладки, модифицированные прошивки, инжекты в легитимное ПО и даже через цепочки поставок (supply chain attacks). В этих условиях простая проверка стандартными антивирусными сканерами даёт ложное чувство безопасности. 🛡️❌
Особую тревогу вызывает рост числа хищений денежных средств с банковских счетов с использованием шпионского ПО. По данным Банка России, во второй половине прошлого года начал распространяться вирус типа SpyNote с функцией удаленного доступа к телефону. Он мимикрирует под разные безобидные программы, с его помощью мошенники какое-то время наблюдают за телефоном и затем удаленно открывают банковское приложение и «потрошат счета без остатка». По оценкам ЦБ, 40-50% хищений денег со счетов совершается при помощи этой программы.
Реальная диагностика требует комбинации методов форензики, поведенческого анализа, реверс-инжиниринга и сетевого мониторинга. Данная статья представляет собой систематизированное руководство для ИТ-директоров, специалистов по информационной безопасности и юристов, которым необходимо доказать факт шпионажа в суде или арбитраже. ⚖️ Поиск программ отслеживания — это первый шаг к возбуждению уголовного дела или к защите в гражданском процессе.
Мы рассмотрим типовые сценарии заражения, технологические методики выявления, реальные кейсы из практики, включая случаи хищения денег с банковских счетов, а также процессуальные аспекты фиксации результатов. Особое внимание уделим регламенту выездных работ — наша лаборатория находится в Москве, но для анализа стационарных серверов и изолированных систем мы готовы вылетать в любой регион России.
⚖️ Раздел 1: Правовая природа и нормативное регулирование
Прежде чем говорить о методах, давайте разберёмся, с точки зрения закона, что такое «шпионское программное обеспечение» и почему его обнаружение — это не только техническая, но и юридическая процедура. Профессиональный поиск программ отслеживания — это первый шаг к возбуждению уголовного дела или к защите в гражданском процессе.
В российском законодательстве нет прямой статьи «шпионское ПО», но есть смежные составы:
- Статья 138.1 УК РФ — Незаконный оборот специальных технических средств, предназначенных для негласного получения информации. Под это определение подпадают программы-шпионы, такие как keyloggers и RAT-трояны.
- Статья 272 УК РФ — Неправомерный доступ к компьютерной информации (если spyware читает файлы без разрешения).
- Статья 273 УК РФ — Создание, использование и распространение вредоносных программ (включая шпионские).
- Статья 183 УК РФ — Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну.
Требования к судебной компьютерной экспертизе: Чтобы заключение эксперта принял суд, необходимо соблюдать Федеральный закон № 73-ФЗ «О государственной судебно-экспертной деятельности в РФ» и процессуальные кодексы (АПК, ГПК, УПК). Ключевые принципы: неизменность объекта исследования (копирование на write-blocker), документирование каждого действия, возможность проверки результатов другим экспертом.
📄 Раздел 2: Почему стандартных антивирусов недостаточно для суда?
Уважаемые клиенты, запомните: результат проверки Kaspersky, Dr.Web, ESET или любого другого массового антивируса не является доказательством в процессуальном смысле. Почему?
| Критерий | Антивирус | Профессиональный поиск |
| Неизменность объекта | Анализирует текущую систему, изменяя временные метки | Работаем с write-blocker (только чтение) |
| Документирование | Не фиксирует цепочку хранения улик | Протокол изъятия, фото, хэши SHA-256 |
| Воспроизводимость | Сигнатуры меняются, результат непостоянен | Полный отчёт с командами и выводами |
| Аттестация эксперта | Программист не имеет статуса эксперта | Сертифицированный судебный эксперт (73-ФЗ) |
| Ответственность за вывод | Никто не несёт уголовной ответственности | Эксперт предупреждён об ответственности по ст. 307 УК РФ |
Поэтому, если вам нужен поиск программ отслеживания для суда, следствия или арбитража — обращайтесь только к сертифицированным экспертам. Мы предоставляем полный пакет документов, включая подписку об уголовной ответственности.
🔬 Раздел 3: Методология экспертного поиска: от приёма до заключения
Наша лаборатория выстроила систему, которая исключает ошибки и обеспечивает воспроизводимость результатов. Вот как проходит профессиональный поиск программ отслеживания поэтапно.
Этап 1: Приёмка объекта и обеспечение сохранности доказательств 🔐📦
Мы принимаем устройства (смартфоны, ноутбуки, серверы, флешки) строго по акту, с фото- и видеофиксацией. Устройство помещается в антистатический пакет или сейф. Назначается внутренний идентификатор дела. Нарушение этого этапа ведёт к признанию экспертизы недопустимой (ст. 75 УПК РФ).
Этап 2: Создание криминалистически чистой копии 🛡️💾
Никогда не работаем с оригиналом! Используем:
- Аппаратные блокираторы записи (Tableau, Logicube) — для жёстких дисков и SSD.
- Программаторы (Medusa Pro, EasyJTAG) — для дампа памяти мобильных устройств.
- Софт для дампа RAM (LiME для Linux, winpmem для Windows).
После копирования вычисляем хеш SHA-256 и вносим его в протокол. Это гарантия того, что данные не были изменены.
Этап 3: Собственно поиск шпионского программного обеспечения 🔍
Здесь мы используем комбинацию трёх независимых подходов:
- Сигнатурный анализ — сканируем все файлы на диске по базе из более чем 15 000 сигнатур и YARA-правил.
- Поведенческий анализ в изолированной среде — запускаем подозрительные файлы в песочнице и записываем все их действия.
- Анализ оперативной памяти (Volatility 3) — ищем скрытые процессы, инжектированные библиотеки, необычные сетевые соединения.
Этап 4: Реверс-инжиниринг 🔧🤖
Если обнаружен неизвестный файл, мы проводим его дизассемблирование в IDA Pro или Ghidra. Смотрим код: есть ли функции отправки данных, чтения клавиатуры, скрытого включения камеры. Это «золотой стандарт» поиска программ отслеживания в сложных случаях.
Этап 5: Формирование заключения 📄✍️
Итоговый документ содержит вводную, исследовательскую и выводы. Мы предупреждены об ответственности по ст. 307 УК РФ.
💥 Раздел 4: Кейс №1 — Хищение денег с банковского счета через мобильный троян
Индивидуальный предприниматель из Московской области обнаружил, что с его расчётного счёта в течение трёх дней списано более 2,1 миллиона рублей. При этом SMS-уведомления о списании не приходили, а мобильное приложение банка показывало «нулевой» остаток. Пострадавший обратился в полицию, а затем к нам для проведения независимого поиска программ отслеживания на его смартфоне (Android).
Вопросы, поставленные на разрешение экспертизы:
- Имеется ли на смартфоне шпионское программное обеспечение, предназначенное для несанкционированного доступа к банковским приложениям?
- Если да, то каков механизм его работы и какие данные были скомпрометированы?
- Имеется ли причинно-следственная связь между наличием шпионского ПО и хищением денежных средств?
Методология экспертизы:
- Смартфон принят по акту, создан физический дамп EMMC через программатор Medusa Pro в режиме EDL.
- Проведен статический анализ всех установленных приложений. Обнаружено приложение с названием «System Update», отсутствующее в официальном списке системных приложений.
- APK-файл извлечен, декомпилирован в jadx. В коде обнаружены классы: BankOverlay, SmsInterceptor, KeyLogger, AccessibilityService. Приложение имело разрешения на чтение SMS, доступ к специальным возможностям и перехват ввода.
- Поведенческий анализ в изолированной среде подтвердил: приложение перехватывало одноразовые пароли (SMS), подменяло интерфейс ввода PIN-кода в банковском приложении и отправляло данные на управляющий сервер.
Экспертные выводы: На смартфоне выявлено шпионское ПО класса Banking Trojan (банковский троян), предназначенное для кражи платёжных данных. Установлены IP-адрес управляющего сервера и список перехваченных SMS-сообщений. Заключение поиска программ отслеживания легло в основу заявления в полицию по ст. 159.6 УК РФ (Мошенничество в сфере компьютерной информации). Возбуждено уголовное дело, ведется розыск злоумышленников.
🏦 Раздел 5: Кейс №2 — «Вирус-потрошитель»: массовое хищение средств через SpyNote
Ситуация, описанная главой Центробанка Эльвирой Набиуллиной, стала реальностью для десятков тысяч россиян. Вирус типа SpyNote с функцией удаленного доступа к телефону мимикрирует под безобидные приложения (калькулятор, фонарик, игра). Установив его, жертва предоставляет мошенникам полный контроль над устройством. Злоумышленники наблюдают за поведением пользователя, запоминают график посещения банковских приложений и затем в удобный момент удаленно открывают банковское приложение и опустошают счета «без остатка».
В нашей практике был случай: к нам обратился житель Ростова-на-Дону, у которого таким образом было похищено 850 000 рублей. Ему пришло SMS с предложением установить «обновление безопасности» от банка. Он перешел по ссылке и установил APK-файл. Через три дня его счет был пуст.
Наши действия: Поскольку потерпевший не мог приехать в Москву, наша выездная группа вылетела в Ростов-на-Дону. Временная лаборатория была развернута на базе местного юридического центра. В ходе выездной экспертизы:
- Создана резервная копия смартфона через ADB.
- В дампе памяти обнаружен активный процесс шпионской программы.
- APK-файл извлечён, его код проанализирован.
- Установлены факты перехвата SMS и подмены интерфейса банковского приложения.
Результат: Экспертное заключение поиска программ отслеживания передано в суд и следственные органы. Это позволило:
- Задокументировать факт установки вредоносного ПО.
- Доказать, что хищение произошло именно через шпионскую программу, а не по вине потерпевшего.
- Подать иск к банку о возврате средств (в рамках процедуры возврата «ошибочных» транзакций).
🏭 Раздел 6: Кейс №3 — Промышленный шпионаж и кража коммерческой тайны
Акционерное общество «ТехИнжиниринг» (г. Москва) понесло убытки в размере 42 млн рублей из-за утечки конструкторской документации на новую модель оборудования. Руководство заподозрило, что на рабочем ноутбуке главного инженера (Lenovo ThinkPad, Windows 11 Pro) функционирует шпионское ПО. Дело рассматривалось в Арбитражном суде г. Москвы.
Поручение: Судом назначена судебная компьютерно-техническая экспертиза. Поставлены вопросы:
- Имеется ли на ноутбуке программное обеспечение, осуществляющее негласный сбор и передачу файлов?
- Если да, то какие файлы были скопированы и на какие внешние адреса?
Ход экспертизы:
- Ноутбук принят по акту, создан образ SSD через Tableau Forensic Bridge.
- Анализ образа в X-Ways Forensics: обнаружен скрытый системный файл C:\Windows\Temp\svcupdate.exe с нестандартной цифровой подписью.
- Извлечённый EXE-файл проанализирован в Ghidra. В коде найдены строки: upload_file, ftp://185.130.5.88:2121, *.dwg, *.stp, *.cdw, *.pdf.
- Поведенческий анализ подтвердил: программа каждые 2 часа сканирует сетевые диски на наличие CAD-файлов, затем сжимает их и отправляет на FTP-сервер.
- В логах Windows Event Log зафиксировано, что программа была установлена за день до увольнения главного инженера.
Заключение эксперта: На ноутбуке выявлено шпионское ПО класса Infostealer, предназначенное для копирования и передачи файлов конструкторской документации. Заключение поиска программ отслеживания признано судом допустимым доказательством. Иск удовлетворён на сумму 38 млн рублей.
📱 Раздел 7: Кейс №4 — Семейный спор: нарушение тайны переписки и слежка через смартфон
В производстве мирового судьи Ростовской области находилось дело об ограничении родительских прав (ст. 73 СК РФ). Мать несовершеннолетнего ребёнка заявила, что отец установил на её смартфон шпионскую программу, позволяющую ему читать её переписку и отслеживать геолокацию. Заявительница не имела возможности приехать в Москву (находится в декретном отпуске). Было принято решение о выездной экспертизе.
Ход экспертизы (полевые условия):
- Смартфон принят по акту, проверены IMEI. Создана резервная копия через ADB.
- Анализ в Oxygen Forensic Detective: обнаружено приложение android.sys.helper, отсутствующее в официальном списке системных приложений. Приложение имеет разрешения: READ_SMS, RECORD_AUDIO, ACCESS_FINE_LOCATION, CAMERA, READ_CONTACTS.
- APK извлечён, декомпилирован в jadx. В коде содержатся классы: KeyLogger, SendLocation, TelegramInterceptor. Используется AccessibilityService для чтения уведомлений.
- В дампе памяти найден активный процесс, подтверждающий постоянную работу шпиона.
Заключение: На смартфоне выявлено шпионское ПО класса Stalkerware, собирающее переписку, геолокацию и аудиозаписи. Экспертное заключение поиска программ отслеживания передано в суд. Суд ограничил отца в родительских правах, обязал удалить шпионское ПО и выплатить компенсацию морального вреда в размере 150 000 руб.
📑 Раздел 8: Типичные ошибки при самостоятельном поиске
Организации и частные лица часто пытаются сэкономить и проводят проверку силами штатного ИТ-отдела. Перечислим наиболее распространённые просчёты:
| Ошибка | Последствие | Как правильно |
| Запуск антивируса на заражённой системе | Руткиты подменяют результаты сканирования | Загрузка с доверенного внешнего носителя (например, Kaspersky Rescue Disk) |
| Анализ только диска, игнорирование RAM | Бесфайловые вредоносы остаются незамеченными | Обязательный дамп памяти перед выключением |
| Отсутствие эталонных хешей | Невозможно отличить системный файл от подделки | Заранее рассчитать и хранить базу эталонов |
| Нефиксация действий | Результаты невозможно использовать в суде | Видеосъёмка или составление подробного протокола |
| Использование только одного инструмента | Сложный spyware может обходить конкретный сканер | Комбинация 3-5 инструментов разных классов |
Запомните: Экономия на экспертизе в 500 тыс. рублей может обернуться утечкой данных на миллиарды.
🔄 Раздел 9: Процессуальное оформление результатов: от отчёта до суда
Любая техническая находка имеет юридическую силу только при соблюдении процессуальных норм. Наша экспертиза оформляется в виде:
9.1. Акта технического исследования (внепроцессуальный документ)
Используется для внутренних расследований, служебных проверок. Содержит детальное описание методики, найденные артефакты, хеши, скриншоты, логи.
9.2. Заключения эксперта (для суда, арбитража, следственных органов)
Составляется в строгом соответствии со ст. 204 УПК РФ, ст. 86 ГПК РФ или ст. 55 АПК РФ. Включает:
- Вводную часть (основания для экспертизы, предупреждение об ответственности).
- Исследовательскую часть (пошаговое описание действий эксперта).
- Выводы (наличие или отсутствие шпионского ПО, его функционал, доказательная база).
- Приложения (CD/DVD с логами, скриншотами, дампами).
9.3. Протокола осмотра носителя информации (с участием понятых или под видеозапись)
Составляется следователем или по поручению суда.
Критически важно: Нарушение цепочки хранения доказательств (chain of custody) делает заключение недопустимым доказательством. Поэтому все носители упаковываются в антистатические пакеты, опечатываются, подписываются понятыми или видеосъёмкой фиксируется каждый этап.
📌 Раздел 10: Заключение — ваш надежный партнер в вопросах поиска программ отслеживания
В заключение нашего судебного обзора, посвященного поиску программ отслеживания, хотелось бы еще раз подчеркнуть, что это не просто техническая услуга, а мощный правовой инструмент, способный кардинально повлиять на исход вашего дела. От правильной организации и проведения поиска программ отслеживания зависит, будет ли установлена истина, выявлен виновник и получена справедливая компенсация.
Мы, эксперты нашего центра, имеем многолетний опыт проведения поиска программ отслеживания любой сложности — от мобильных телефонов до промышленных серверов. Наши специалисты владеют современными методами исследования (включая металлографию, термографию, хроматографию и спектральный анализ), имеют доступ к передовому лабораторному оборудованию и готовы дать квалифицированные пояснения в судебном заседании. Мы гарантируем научную обоснованность, объективность и процессуальную безупречность нашего заключения. Доверив нам проведение поиска программ отслеживания, вы делаете выбор в пользу профессионализма и защиты своих законных прав.
Более подробную информацию о наших услугах, порядке проведения поиска программ отслеживания и примеры успешных кейсов вы можете найти на нашем сайте: https://фсэ.рф/poisk-shpionskogo-programmnogo-obespecheniya/





Задавайте любые вопросы