
В условиях стремительной цифровизации банковской сферы и повсеместного использования мобильных устройств для финансовых операций, проблема несанкционированного хищения денежных средств с использованием шпионского программного обеспечения приобретает характер системной угрозы. Согласно официальным данным Центрального банка Российской Федерации, за вторую половину 2024 года около 40–50% хищений со счетов граждан совершено с использованием вредоносных программ с функцией удалённого доступа к телефону. Председатель ЦБ Эльвира Набиуллина на форуме «Кибербезопасность в финансах» отметила: «Начал распространяться вирус типа SpyNote с функциями удалённого доступа к телефону. Он мимикрирует под разные безобидные программы, и с помощью этого вредоноса мошенники некоторое время наблюдают за телефоном, видят пароли, видят смс. Затем они без труда удалённо открывают банковское приложение и потрошат все счета без остатка».
Особую тревогу вызывает тот факт, что злоумышленники не ограничиваются кражей собственных средств жертвы — они оформляют кредиты на имя потерпевшего и похищают кредитные деньги, которых у жертвы изначально не было, доводя сумму ущерба до нескольких миллионов рублей. В таких ситуациях профессиональный поиск шпионских программ слежки становится критически важным инструментом как для установления факта преступления, так и для восстановления цепочки финансовых операций и идентификации злоумышленников. Настоящая статья представляет собой уголовно-правовой анализ квалификации таких деяний, процессуальных оснований для проведения экспертизы и эмпирических кейсов из судебной практики.
- Понятие и правовая природа шпионского ПО: уголовно-правовая квалификация⚖️🖥️
С точки зрения уголовного права, установка шпионского ПО без согласия владельца устройства представляет собой посягательство на несколько охраняемых законом объектов одновременно. Как отмечается в экспертной литературе, под программой-шпионом понимается ПО, которое втайне от пользователя собирает, копирует, передает или уничтожает конфиденциальную информацию. При этом поиск шпионских программ слежки должен подтверждаться не только техническими, но и процессуальными актами.
Уголовное право как отрасль права представляет собой систему установленных государством правовых норм, определяющих преступность и наказуемость деяний, опасных для общественных отношений. Основная задача уголовного права — охрана личности, общества и государства от преступных посягательств. Уголовное право обеспечивает право на защиту личности, общества и государства от преступных посягательств, которое осуществляется посредством угрозы уголовного наказания и его реального применения за совершение преступления. Предметом уголовно-правового регулирования являются уголовно-правовые отношения, возникающие в связи с совершением преступления. Участниками уголовно-правовых отношений являются, с одной стороны, государство, от имени которого действует суд, с другой — лицо, совершившее преступление.
1.1. Мошенничество в сфере компьютерной информации (статья 159.6 УК РФ) 💻⚖️
Хищение денежных средств с банковского счета с использованием шпионского ПО, как правило, квалифицируется по статье 159.6 Уголовного кодекса Российской Федерации — мошенничество в сфере компьютерной информации. Согласно диспозиции статьи, уголовная ответственность наступает за хищение чужого имущества или приобретение права на чужое имущество путем ввода, удаления, блокирования, модификации компьютерной информации либо иного вмешательства в функционирование средств хранения, обработки или передачи компьютерной информации или информационно-телекоммуникационных сетей.
Двойной предмет посягательства по данной статье включает одновременно компьютерную информацию и имущество, что отличает её от иных составов преступлений против собственности. Способ совершения преступления предполагает целенаправленное воздействие программных и/или программно-аппаратных средств на средства вычислительной техники, которое нарушает установленный процесс обработки, хранения или передачи компьютерной информации.
1.2. Квалифицирующие признаки и санкции ⚖️
Особо квалифицирующие признаки совершения деяния по части 3 статьи 159.6 УК РФ включают совершение преступления с банковского счета, а равно в отношении электронных денежных средств, что влечёт наказание в виде лишения свободы на срок до шести лет со штрафом. При совершении деяния организованной группой либо в особо крупном размере (от 1 000 000 рублей) санкция предусматривает лишение свободы на срок до десяти лет.
1.3. Смежные составы преступлений 📜
Помимо статьи 159.6 УК РФ, действия злоумышленников могут квалифицироваться по следующим статьям:
- Статья 138.1 УК РФ «Незаконный оборот специальных технических средств, предназначенных для негласного получения информации».Данная статья является основной для квалификации деяний, связанных с распространением и использованием коммерческих программ-шпионов (stalkerware). Согласно разъяснениям Пленума Верховного Суда РФ № 32 от 15.12.2022, к специальным техническим средствам относятся в том числе программные продукты, позволяющие осуществлять негласный сбор информации. Санкция — до 4 лет лишения свободы.
- Статья 272 УК РФ «Неправомерный доступ к компьютерной информации».Применяется в случаях, когда программа-шпион копирует, модифицирует или удаляет данные без согласия владельца устройства. Квалифицирующим признаком является причинение крупного ущерба (свыше 1 млн руб.) или совершение деяния из корыстной заинтересованности. Санкция — до 7 лет лишения свободы.
- Статья 273 УК РФ «Создание, использование и распространение вредоносных программ».Охватывает случаи, когда шпионское ПО обладает способностью к самораспространению (сетевые черви) или модифицирует системные файлы. Санкция — до 7 лет лишения свободы.
- Статья 183 УК РФ «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну».Применяется в делах о корпоративном шпионаже. При незаконном сборе коммерческой информации с использованием шпионского ПО наступает ответственность по данной статье. Санкция — до 10 лет лишения свободы (при особо крупном размере и организованной группе).
- Механизм совершения преступления: от заражения до оформления кредита🔍💰
На основе анализа эмпирических данных и материалов судебно-экспертной практики можно выделить типовой сценарий совершения хищения денежных средств, который необходимо учитывать при поиске шпионских программ слежки. Мы готовы по назначению следствия либо без участия следствия установить механизм кражи денег с ваших счетов.
Этап 1: Социальная инженерия и внедрение вредоносного ПО 🎭📨
Злоумышленники используют различные методы для убеждения жертвы установить шпионскую программу. МВД России сообщает о массовых случаях, когда мошенники рассылают вредоносные файлы с расширением APK в мессенджерах, маскируя их под видео или изображения. Файлы отправляют с вопросом «Это ты на фото?» или «Это ты на видео?», и при его открытии на устройство устанавливается троян.
Кейс из судебной практики (Йошкар-Ола): Несовершеннолетней дочери заявительницы в мессенджере от имени одноклассницы пришло сообщение с прикрепленным файлом и вопросом: «это ты на фото?». Девочка заинтересовалась, скачала файл, и таким образом, мошенники получили удаленный доступ к её приложению банка в телефоне. Позже маме пришло сообщение о необходимости внести платеж по кредиту. Заявительница узнала, что на её имя оформлен кредит на сумму более 100 тысяч рублей. Полиция установила, что открытый школьницей файл с расширением APK являлся шпионской программой, предоставляющей удаленный доступ к ее гаджету.
Кейс из судебной практики (Курган): 51-летний житель Кургана получил в мессенджере сообщение от неизвестного отправителя с предложением посмотреть видео со своим участием. Переход по ссылке спровоцировал установку стороннего приложения, которое оказалось шпионской программой. Программа предоставила злоумышленникам удаленный доступ к устройству и конфиденциальным данным, включая банковские реквизиты. Мужчина обнаружил пропажу средств и наличие долга только спустя месяц, получив уведомление от банка о просрочке кредита. Преступники дистанционно подали заявку на заем и вывели деньги на свои счета.
Этап 2: Скрытое наблюдение и сбор данных 👁️📊
После установки вредоносная программа функционирует в фоновом режиме. Мошенники некоторое время наблюдают за телефоном, перехватывают пароли и SMS-сообщения с кодами подтверждения. По данным ЦБ РФ, вирус SpyNote позволяет мошенникам «видеть пароли, видеть смс». Шпионское ПО может:
- Записывать нажатия клавиш на экранной клавиатуре (кейлоггинг).
• Делать скриншоты экрана при открытии банковских приложений.
• Перехватывать входящие SMS с одноразовыми паролями.
• Получать доступ к сохранённым паролям в браузерах.
Этап 3: Хищение собственных средств 💸🏦
Используя перехваченные данные, злоумышленники удалённо открывают банковское приложение и «потрошат все счета без остатка». Жертва может даже не подозревать о списании средств, так как уведомления от банка оперативно удаляются вредоносным ПО. Поиск шпионских программ слежки позволяет восстановить хронологию этих событий.
Этап 4: Оформление кредитов и хищение кредитных средств 💳🏛️
Наиболее разрушительный этап для жертвы. С использованием доступа к банковскому приложению злоумышленники оформляют кредиты на имя жертвы — от 100 000 до 2-3 миллионов рублей. Полученные кредитные деньги немедленно выводятся на счета злоумышленников. Итоговый ущерб может составлять несколько миллионов рублей — и это деньги, которых у жертвы изначально не было. Экспертный поиск шпионских программ слежки позволяет доказать, что кредитные операции были совершены не жертвой, а злоумышленниками с использованием скомпрометированного устройства.
В одном из судебных дел, рассмотренных Балашихинской городской прокуратурой, обвиняемый с использованием вредоносного программного обеспечения получил доступ к персональным данным потерпевшего, после чего оформил потребительский займ на сумму свыше 150 тыс. рублей через онлайн-маркетплейс. Средства были использованы для приобретения товара, который обвиняемый получил через курьера. Уголовное дело направлено в суд по ч. 5 ст. 272 УК РФ и ч. 4 ст. 159 УК РФ.
- Процессуальные основания и методология экспертного исследования📋🔬
Профессиональный поиск шпионских программ слежки для целей уголовного судопроизводства должен проводиться в строгом соответствии с нормами уголовно-процессуального законодательства. Любые действия по обнаружению шпионского ПО, если они преследуют цель получения юридически значимых доказательств, должны строго соответствовать федеральному законодательству.
3.1. Основания для проведения экспертизы 📜
Экспертиза назначается на основании постановления следователя, дознавателя или определения суда (ст. 195 УПК РФ). В постановлении должны быть указаны: основания для назначения экспертизы (заявление о хищении, факт оформления кредита), перечень объектов, предоставляемых в распоряжение эксперта (мобильное устройство, логи, дампы), вопросы, подлежащие разрешению.
3.2. Типовые вопросы суда эксперту ⚖️
- Обнаружены ли на представленном для исследования мобильном устройстве программы, предназначенные для негласного получения информации?
• Каков механизм их работы (кейлоггинг, перехват SMS, доступ к камере/микрофону)?
• Когда и с какого IP-адреса производилась установка?
• Какой объём информации был скомпрометирован и куда она передавалась?
• Имеются ли следы удалённого управления устройством?
3.3. Обеспечение неизменности данных ⛓️💾
Критическое требование к поиску шпионских программ слежки в целях судопроизводства — гарантия неизменности исходных данных. Непрофессиональное выявление шпионского ПО силами штатного IT-отдела может привести к уничтожению следов и отклонению доказательств судом (ст. 75 УПК РФ — недопустимые доказательства). Правило: любое действие с носителем должно фиксироваться протоколом.
- Физическая изоляция: Устройство помещается в экранирующую камеру для блокировки всех каналов связи, что предотвращает дистанционную команду на удаление данных (remote wipe).
• Создание посекторной копии: С использованием аппаратных блокираторов записи (write-blocker) создаётся побитовая копия всего носителя. Каждый образ снабжается хэш-суммами (SHA-256) для обеспечения неизменности и доказательной ценности.
• Цепочка хранения (Chain of Custody): Все носители упаковываются в антистатические пакеты, опечатываются, подписываются. Нарушение цепочки хранения делает заключение недопустимым доказательством.
3.4. Методология экспертного исследования 🛠️
Профессиональный поиск шпионских программ слежки включает следующие этапы :
- Сигнатурный поиск: Использование баз YARA-правил (более 5000 сигнатур spyware) и специализированных антивирусных движков.
• Анализ автозагрузки: Проверка ключей реестра Run, RunOnce, планировщика задач, служб, WMI-подписок на события.
• Анализ оперативной памяти: С использованием фреймворков Volatility 3 выполняется парсинг структур данных в дампе памяти для выявления скрытых процессов и внедрённых модулей.
• Динамический анализ в изолированной среде (песочнице): Запуск подозрительных файлов в Cuckoo Sandbox, CAPE (с поддержкой Android) с мониторингом системных вызовов и сетевой активности.
• Сетевой анализ: Реконструкция сетевого трафика для выявления несанкционированных соединений с C2-серверами.
• Ручной реверс-инжиниринг: Дизассемблирование и анализ кода с использованием IDA Pro, Ghidra для кастомного и полиморфного шпионского ПО.
3.5. Составление экспертного заключения 📑
По итогам анализа составляется заключение, состоящее из вводной, исследовательской части и выводов. Эксперт предупреждается об ответственности по ст. 307 УК РФ за дачу заведомо ложного заключения (ст. 57 УПК РФ). Выводы должны быть только категорическими, а каждый вывод — ответом на конкретный вопрос постановления. Заключение признаётся судом допустимым доказательством только при соблюдении всех процессуальных норм.
- Инструментальная база и методика анализа🧰📊
Эффективность поиска шпионских программ слежки напрямую зависит от используемого инструментария и квалификации эксперта. Ниже представлена систематизация инструментов по этапам анализа :
| Этап анализа | Категория инструментов | Примеры | Назначение |
| Извлечение данных | Криминалистические сборщики | Cellebrite UFED, Magnet AXIOM, Oxygen Forensic Detective, FTK Imager | Создание физических дампов, извлечение артефактов, криминалистическое копирование |
| Анализ образов | Анализаторы файловых систем | X-Ways Forensics, Autopsy, The Sleuth Kit | Поиск скрытых и удалённых файлов, анализ метаданных, реконструкция временной шкалы |
| Анализ памяти | Фреймворки форензики | Volatility 3, MemProcFS | Парсинг структур ОС в дампе памяти, выявление скрытых процессов и хуков |
| Статический анализ | Декомпиляторы и анализаторы | Ghidra, IDA Pro, jadx (для APK) | Декомпиляция, анализ исходного кода, обнаружение обфускации |
| Динамический анализ | Системы песочниц | Cuckoo Sandbox (CAPE — Android), ANY.RUN | Поведенческий анализ, мониторинг вызовов API и сетевых соединений |
| Сетевой анализ | Снифферы и анализаторы | Wireshark, Zeek, Suricata | Перехват и анализ трафика, обнаружение C2-соединений |
| Аппаратные средства | Блокираторы записи, программаторы | Tableau Forensic Bridge, SPI-программатор | Обеспечение криминалистической чистоты, анализ прошивки EFI |
- Признаки компрометации: индикаторы для инициации проверки🚨🔍
На основе систематизации эмпирических данных можно выделить следующие группы признаков, указывающих на возможное наличие шпионского ПО и необходимость проведения профессионального поиска шпионских программ слежки :
5.1. Аномальное поведение устройства 📉
• Быстрая разрядка аккумуляторной батареи без видимых причин (шпионские модули работают в фоновом режиме).
• Перегрев корпуса при отсутствии ресурсоёмких задач.
• Замедление работы, зависания, самопроизвольные перезагрузки.
• Самопроизвольная активация камеры, микрофона или вспышки.
5.2. Подозрительная сетевая активность 🌐
• Повышенный расход интернет-трафика без видимых причин.
• Обнаружение неизвестных исходящих соединений в нестандартные порты (5555, 6666, 31337).
• Аномальные DNS-запросы к доменам с высоким коэффициентом энтропии.
5.3. Подозрительная активность в системе ⚙️
• Наличие незнакомых приложений, маскирующихся под системные (Play Services с нестандартной подписью).
• Неожиданное получение кодов подтверждения операций, которые пользователь не инициировал.
• Появление в галерее скриншотов или видео, которые вы не делали.
• Странные шумы во время телефонных звонков.
5.4. Компрометация финансового окружения 💰
• Необъяснимые списания со счетов.
• Получение уведомлений о кредитах, которые пользователь не оформлял.
• Звонки от коллекторов по кредитам, которые жертва не брала.
- Алгоритм действий при обнаружении хищения🆘📋
При обнаружении признаков хищения денежных средств или несанкционированного оформления кредитов рекомендуется строго соблюдать следующий алгоритм :
- НЕ ПРЕДПРИНИМАТЬ САМОСТОЯТЕЛЬНЫХ ДЕЙСТВИЙ ПО УДАЛЕНИЮ!🛑 Уничтожение файлов или сброс настроек приведёт к потере цифровых следов, которые являются доказательной базой для правоохранительных органов и для возврата похищенных средств.
- НЕМЕДЛЕННО ОТКЛЮЧИТЬ УСТРОЙСТВО ОТ СЕТИ ИНТЕРНЕТ.✈️ Перевести телефон в режим «в самолёте». Это остановит передачу данных на сервер злоумышленника.
- ЗАФИКСИРОВАТЬ ВСЕ ФИНАНСОВЫЕ ОПЕРАЦИИ: сделать скриншоты уведомлений о списаниях и кредитах.
- НЕЗАМЕДЛИТЕЛЬНО ОБРАТИТЬСЯ В БАНКдля блокировки карт и оспаривания операций.
- ОБРАТИТЬСЯ К ЭКСПЕРТАМдля проведения поиска шпионских программ слежки и фиксации цифровых доказательств.
- ПОДАТЬ ЗАЯВЛЕНИЕ В ПОЛИЦИЮс приложением экспертного заключения.
- В случае отказа кредитора аннулировать кредит,обратиться в Центробанк и в суд для признания кредитного договора недействительным.
Ознакомьтесь с полным перечнем услуг и методик диагностики на официальной странице 🔗
Заключительный вывод 🗝️✅
Анализ текущей ситуации в сфере мобильного мошенничества и судебной практики позволяет сформулировать следующие выводы:
- Современные банковские трояны (SpyNote, CraxsRAT) представляют собой высокоорганизованную угрозу, нацеленную на полное опустошение счетов жертв, включая оформление кредитов на имя потерпевшего. По данным Центрального банка РФ, 40-50% хищений совершается именно через установку вредоносного ПО с функцией удалённого доступа.
- Хищение денежных средств с использованием шпионского ПО квалифицируется по статье 159.6 УК РФ(мошенничество в сфере компьютерной информации), а также по смежным статьям 138.1, 272, 273 и 183 УК РФ.
- Профессиональный поиск шпионских программ слежки является критически важным инструментомкак для установления факта преступления, так и для восстановления цепочки финансовых операций и идентификации злоумышленников. Только комплексный подход, включающий криминалистическую изоляцию, статический и динамический анализ, позволяет достоверно установить механизм кражи и представить юридически значимые доказательства в суде.
- Судебная практика, включая решения арбитражных судов и материалы следствия, подтверждает, что кредитные договоры, заключённые под влиянием обмана с использованием шпионского ПО, могут быть признаны недействительными, однако для этого необходимы убедительные доказательства, предоставляемые экспертами.
- Инвестиции в профессиональную диагностику являются не затратами, а стратегическим вложениемв защиту от многократно больших финансовых потерь. Доверяйте безопасность своих устройств и защиту своих прав только тем, кто владеет методами цифровой криминалистики на уровне, позволяющем видеть то, что скрыто от стандартных средств защиты, и оформлять результаты исследования в виде юридически значимого документа. Мы готовы по назначению следствия либо без участия следствия установить механизм кражи денег с ваших счетов. ⚖️🔒🇷🇺





Задавайте любые вопросы