
Судебная практика и процессуальная методология экспертного исследования
Доброго дня, уважаемые коллеги! ⚖️ Сегодня мы представляем вашему вниманию фундаментальный материал, посвященный одной из наиболее сложных и юридически значимых областей судебной компьютерно-технической экспертизы — поиску программ-шпионов на смартфоне и ПК. Настоящая статья подготовлена в строгом юридическом стиле, ориентирована на следователей, адвокатов, судей, корпоративных юристов и всех участников судопроизводства, которым требуется не просто техническое понимание проблемы, а процессуально корректная методология выявления, фиксации и юридической квалификации фактов цифрового шпионажа. 🏛️
В современном цифровом пространстве угрозы приобрели системный и целенаправленный характер. Как свидетельствуют официальные данные ФСБ России, иностранные спецслужбы реализуют широкомасштабные операции по внедрению шпионского ПО на мобильные средства связи высокопоставленных должностных лиц, что используется для снятия данных, прослушивания переговоров и негласного акустического и видеоконтроля обстановки. Указанные действия квалифицируются по статьям 272 (неправомерный доступ к компьютерной информации) и 273 (создание, использование и распространение вредоносных программ) УК РФ. В этих условиях профессиональный поиск программ-шпионов на смартфоне и ПК перестает быть прерогативой исключительно IT-специалистов и становится неотъемлемым элементом юридической практики. 📜
Наша экспертная лаборатория базируется в Москве, однако для выполнения сложных задач, требующих анализа стационарных серверов, оборудования в изолированных сетях или устройств, которые невозможно транспортировать, мы осуществляем выезды в любой регион России — от Калининграда до Камчатки. Физический доступ к объекту исследования является краеугольным камнем юридически корректного поиска программ-шпионов на смартфоне и ПК, обеспечивающим неизменность и допустимость цифровых доказательств. 🚁
- Правовое регулирование и квалификация: нормативная основа поиска программ-шпионов на смартфоне и ПК 📜
Юридически значимый поиск программ-шпионов на смартфоне и ПК базируется на системе федеральных законов и подзаконных актов, определяющих как материальные, так и процессуальные аспекты деятельности. Поиск программ-шпионов на смартфоне и ПК в рамках судопроизводства регламентируется следующими нормативными актами:
- Федеральный закон № 73-ФЗ «О государственной судебно-экспертной деятельности в Российской Федерации» — устанавливает правовые основы, принципы организации и основные направления государственной судебно-экспертной деятельности в гражданском, административном и уголовном судопроизводстве.
- Уголовно-процессуальный кодекс РФ (ст. 195–207) — регламентирует порядок назначения и производства судебной экспертизы, права и обязанности эксперта, требования к заключению.
- Арбитражный процессуальный кодекс РФ (ст. 55, 82–87) — определяет основания для назначения экспертизы в арбитражном процессе и требования к экспертному заключению.
- Гражданский процессуальный кодекс РФ (ст. 79–87) — устанавливает порядок использования специальных знаний в гражданском судопроизводстве.
Материально-правовые основания для привлечения к ответственности за установку и использование шпионских программ предусмотрены следующими статьями Уголовного кодекса РФ:
| Статья УК РФ | Состав преступления | Применимость к шпионскому ПО |
| Статья 137 | Нарушение неприкосновенности частной жизни | Сбор сведений о частной жизни без согласия лица с использованием технических средств |
| Статья 138 | Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений | Перехват сообщений, запись разговоров через кейлоггеры и RAT |
| Статья 183 | Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну | Кража коммерческой информации через стилеры |
| Статья 272 | Неправомерный доступ к охраняемой законом компьютерной информации | Несанкционированное чтение файлов, доступ к системным данным |
| Статья 273 | Создание, использование и распространение вредоносных программ | Разработка и внедрение шпионского ПО |
Важным аспектом правового регулирования является разграничение законного родительского контроля и незаконной слежки. Как разъяснил Конституционный Суд РФ в постановлении от 18.01.2024 № 2-П, использование программ родительского контроля в интересах безопасности ребенка само по себе не является противоправным. Однако если будет установлено, что использование такого программного средства не только ситуативно дало доступ к информации о частной жизни других лиц, но и преследовало цель собирания именно такой информации, то имеются основания для применения ч. 1 ст. 137 УК РФ. Таким образом, профессиональный поиск программ-шпионов на смартфоне и ПК является первым и необходимым этапом для возбуждения уголовного дела или защиты в гражданском процессе. Как показывает судебная практика, правильно проведенная экспертиза может стать решающим аргументом в спорах о коммерческом шпионаже, незаконном увольнении, нарушении конфиденциальности и иных категориях дел.
- Таксономия объектов поиска: классификация шпионских программ и ПО 🧩
Эффективный поиск программ-шпионов на смартфоне и ПК невозможен без четкого понимания типологии угроз. Судебная практика и криминалистическая методология выделяют следующие категории объектов, подлежащих выявлению:
2.1. По целевому функционалу и методам сбора данных 🎯
- Кейлоггеры (Keyloggers) — программы, перехватывающие нажатия клавиш, включая пароли, пин-коды и номера банковских карт. Могут быть программными (драйверы, хуки в оконную подсистему) и аппаратными (внедряются на уровне контроллера клавиатуры). Поиск программ-шпионов на смартфоне и ПК данного типа требует анализа системных вызовов и целостности драйверов ввода.
- Трояны удаленного доступа (RAT — Remote Access Trojan) — обеспечивают полный контроль над системой: активация камеры, микрофона, геолокация, скриншоттинг, кража файлов. Используют легитимные протоколы (RDP, VNC) для маскировки сетевого трафика. Ярким примером является коммерческое шпионское ПО Dante, разработанное итальянской компанией Memento Labs (ранее HackingTeam) и впервые обнаруженное в реальных атаках против российских организаций в марте 2025 года. В ходе операции «Форумный тролль» злоумышленники использовали уязвимость нулевого дня в браузере Chrome: достаточно было открыть фишинговую ссылку, чтобы устройство заразилось без каких-либо дополнительных действий со стороны пользователя.
- Банковские трояны и финансовые стилеры — специализируются на краже денежных средств. Перехватывают SMS-коды двухфакторной аутентификации, подменяют интерфейсы банковских приложений (overlay-атаки), крадут данные банковских карт. Основным вектором внедрения на Android-платформах являются приложения с правами специальных возможностей (Accessibility Service).
- Информационные сборщики (Data Stealers) — сканируют файловую систему, извлекают сохранённые пароли из браузеров, копируют документы, контакты и кэши мессенджеров.
2.2. По методам маскировки и стойкости к обнаружению 🥷
- User-Mode Rootkits — маскируют процессы, файлы и ключи реестра на уровне приложений. Выявляются через анализ списков процессов и сравнение с системными базами.
- Kernel-Mode Rootkits — внедряются в ядро ОС, перехватывая системные вызовы. Поиск программ-шпионов на смартфоне и ПК на уровне ядра требует анализа целостности системных файлов, сравнения хэшей с эталонными значениями и исследования структур данных ядра.
- Буткиты (Bootkits) — заражают загрузочные секторы MBR или прошивку UEFI. Активируются до загрузки ОС, что делает их невидимыми для стандартных сканеров. Поиск программ-шпионов на смартфоне и ПК данного типа требует извлечения прошивки через SPI-программатор.
- Бесфайловые шпионы (Fileless Malware) — исполняются только в оперативной памяти, используя легитимные скриптовые движки (PowerShell, WMI). Не оставляют следов на диске, что требует анализа дампов оперативной памяти для обнаружения.
- Кейсы из практики: поиск программ-шпионов на смартфоне и ПК в различных сценариях 🎯
Кейс №1: Семейная слежка на устройстве Android (Москва) 🏠📱
В лабораторию Федерации судебных экспертов обратилась гражданка с жалобами на аномальное поведение ее смартфона под управлением операционной системы Android. Заявительница сообщила о следующих признаках: быстрый разряд аккумуляторной батареи (с 30 часов до 5 часов работы), наличие щелчков и эха во время телефонных разговоров, самопроизвольное включение экрана в ночное время, а также фиксация неизвестного сетевого трафика в объеме около 250 мегабайт в сутки. Заявительница находилась в процессе расторжения брака и подозревала супруга в установке шпионского программного обеспечения.
Процедура исследования:
Наши эксперты приняли устройство в лабораторию и провели полное исследование согласно деловой методологии. Первым этапом устройство было помещено в экранированную камеру для блокировки всех каналов связи. Затем была создана побитовая копия внутренней памяти. Анализ установленных приложений выявил пакет с названием, визуально неотличимым от системной службы обновлений. Отличие заключалось в одной букве в имени пакета. Цифровая подпись приложения не соответствовала сертификату разработчика операционной системы.
Приложение запрашивало доступ к микрофону, камере, геолокации, контактам, текстовым сообщениям и возможности записи экрана. В системных логах были обнаружены регулярные соединения с удаленным сервером, расположенным на территории иностранного государства. Поведенческий анализ в изолированной среде подтвердил, что приложение передает аудиозаписи окружения и скриншоты экрана на удаленный сервер. Временные метки установки приложения совпали с днем, когда супруг оставался дома один с устройством заявительницы.
Результат: Поиск программ-шпионов на смартфоне и ПК подтвердил наличие сталкерского модуля, передающего геолокацию и снимки с камеры. Вредоносный пакет был удален с сохранением всех пользовательских данных. Было составлено деловое заключение, которое заявительница использовала в судебном процессе. Супруг признал факт установки шпионского программного обеспечения. Заключение использовано как доказательство по ст. 138 УК РФ (нарушение тайны переписки). 📱⚖️
Кейс №2: Финансовый троян после перехода по фишинговой ссылке 💸📱
Второй кейс относится к категории финансового мошенничества. В нашу лабораторию обратился гражданин, сообщивший, что получил текстовое сообщение от имени крупного банка. В сообщении содержалась информация о блокировке банковской карты и ссылка для разблокировки. Заявитель перешел по ссылке. Открывшийся сайт визуально полностью копировал официальный портал банка. Заявитель ввел свой логин, пароль и код подтверждения из текстового сообщения. Через два часа заявитель обнаружил, что с его банковского счета списано 950 000 рублей.
Процедура исследования:
Наши эксперты приняли устройство в работу. Была создана побитовая копия внутреннего накопителя смартфона. Анализ истории браузера выявил ссылку на фишинговый сайт, который на момент исследования уже не функционировал. В системном разделе памяти было обнаружено приложение, установленное в тот же день, что и переход по ссылке. Приложение не имело иконки и было скрыто из общего списка установленных программ.
Приложение запрашивало доступ к текстовым сообщениям, уведомлениям и возможность отображать окна поверх других приложений. Эксперты выполнили дизассемблирование исполняемого файла и выявили функции перехвата одноразовых паролей, поступающих в текстовых сообщениях от банка. Вредонос отправлял украденные данные на сервер, зарегистрированный через подставное лицо. Была восстановлена полная цепочка заражения: фишинговая ссылка, загрузка установщика, установка основного модуля, активация после перезагрузки устройства.
Результат: Поиск программ-шпионов на смартфоне и ПК позволил восстановить полную цепочку атаки. Вредоносный модуль был удален. Деловое заключение было передано в правоохранительные органы для возбуждения уголовного дела. Также заключение было использовано в банке для запуска процедуры страхового возмещения. 🔐
Кейс №3: Корпоративный шпионаж — слежка за сотрудником со стороны работодателя 👨💻🏢
В рамках услуг по поиску мобильных шпионских программ проведено исследование iPhone с подозрением на слежку со стороны работодателя. Устройство заявителя представляло собой смартфон iPhone последней модели. Наши эксперты провели полное исследование согласно деловой методологии. Первым этапом был выполнен анализ установленных профилей конфигурации. В разделе настроек был обнаружен неизвестный профиль, не связанный с корпоративной политикой безопасности организации заявителя. Профиль предоставлял права на удаленное управление устройством, доступ к корпоративной почте, календарю и контактам, а также возможность удаленного стирания данных.
Процедура исследования:
- Проверка наличия профилей конфигурации в разделе «Настройки → Основные → VPN и управление устройством».
- Анализ бэкапа iTunes с использованием Mobile Verification Toolkit (MVT) — бесплатного инструмента с открытым исходным кодом от Amnesty International.
- Анализ системных журналов (sysdiagnose) на предмет индикаторов шпионского ПО.
Результат: Поиск программ-шпионов на смартфоне и ПК выявил профиль MDM-управления, установленный без ведома и согласия сотрудника, что нарушает ст. 22 ТК РФ. Профиль был удален, устройство очищено.
Кейс №4: Атака с использованием коммерческого шпионского ПО Dante («Форумный тролль») 🕵️♂️💻
В марте 2025 года эксперты «Лаборатории Касперского» обнаружили сложную целевую кампанию, в которой использовалась уязвимость нулевого дня в Chrome. Злоумышленники рассылали персонализированные фишинговые письма сотрудникам СМИ, государственных, образовательных и финансовых учреждений в России с предложением поучаствовать в научно-экспертном форуме «Примаковские чтения». Достаточно было открыть ссылку в браузере Chrome — устройство заражалось без каких-либо дополнительных действий со стороны пользователя. Атака использовала уязвимость нулевого дня, что указывает на высокий уровень подготовки её организаторов.
Процедура исследования:
Центральным элементом операции стал зловред под названием LeetAgent, в коде которого использовалась специфическая система команд на языке Leet. Это необычное решение для целевых атак, что сразу привлекло внимание аналитиков. В ходе детального анализа специалисты Kaspersky GReAT обнаружили в арсенале злоумышленников новый вредонос, схожий по структуре и принципам работы с Dante. Сравнение кода показало перекрёстные элементы и совпадения, которые указывают на общее происхождение — разработку Memento Labs. Компания Memento Labs продолжает наследие HackingTeam — одного из старейших производителей шпионского ПО, основанного в 2003 году. Самым известным продуктом стала система удалённого контроля RCS, применявшаяся по всему миру.
Результат: Поиск программ-шпионов на смартфоне и ПК позволил идентифицировать вредонос как коммерческое шпионское ПО Dante, разработанное итальянской компанией Memento Labs. Этот случай демонстрирует, что даже коммерческие продукты для слежки, предназначенные для продажи государственным структурам, могут использоваться в реальных атаках против российских организаций. 🎯
Кейс №5: Внедрение шпионского ПО иностранными спецслужбами (по данным ФСБ) 🏛️📡
Федеральная служба безопасности Российской Федерации вскрыла и задокументировала широкомасштабную акцию иностранных спецслужб по внедрению и применению на мобильных средствах коммуникации высокопоставленных российских служащих вредоносного программного обеспечения. По данным ФСБ, вредоносное ПО используется «для снятия имеющихся данных, прослушивания ведущихся переговоров, а также негласного акустического и видеоконтроля обстановки вблизи электронных устройств, направленного на получение чувствительной информации».
Процедура исследования:
С использованием технических возможностей крупных международных IT-корпораций посредством использования средств мобильной связи представителями иностранных спецслужб осуществлялось скрытое несанкционированное снятие различного рода информации с устройств объектов кибератаки. Следственным управлением ФСБ возбуждено уголовное дело по признакам состава преступления, предусмотренного ст. 272 (неправомерный доступ к компьютерной информации) и 273 (создание, использование и распространение вредоносных компьютерных программ) УК РФ.
Результат: Поиск программ-шпионов на смартфоне и ПК в данном случае проводился на государственном уровне с привлечением всех ресурсов правоохранительных органов. Спецслужба подчеркнула, что обсуждение конфиденциальной информации по мобильным средствам связи и вблизи них «недопустимо, так как содержание ваших переговоров может стать известно третьим лицам и повлечь наступление необратимых последствий». 🛡️
- Методология юридически значимого поиска: от изъятия до заключения ⚙️
Юридически корректный поиск программ-шпионов на смартфоне и ПК представляет собой многоэтапную процедуру, каждый этап которой должен быть задокументирован для обеспечения допустимости доказательств в суде.
4.1. Подготовительный этап и изъятие носителей 📐
Критическое значение имеет соблюдение принципа неизменности объекта исследования:
- Фиксация состояния: Фото- и видеофиксация системного времени, сетевых индикаторов, состояния кабелей и индикаторов на корпусе устройства.
- Отключение сетей: Извлечение патч-кордов или включение режима «в самолете» для предотвращения удаленной команды на самоуничтожение (remote wipe). Отключение питания запрещено — это уничтожает следы в оперативной памяти.
- Дамп оперативной памяти (RAM): Захват содержимого RAM с использованием WinPMEM (Windows) или LiME (Linux) для последующего анализа скрытых процессов и бесфайловых угроз.
- Применение write-blocker: Подключение носителя через аппаратный блокиратор записи (Tableau, Logicube). Создание посекторной копии (dd, E01, raw) с контролем хешей SHA-256. Работа с оригиналом не допускается — это является грубым нарушением, влекущим недопустимость доказательств.
4.2. Статический анализ артефактов 📂
Поиск программ-шпионов на смартфоне и ПК на этапе статического анализа включает:
- Сигнатурный поиск: Использование YARA-правил и баз ClamAV. Однако сигнатурные методы ограничены против полиморфных и неизвестных угроз.
- Анализ точек персистенции (автозагрузки): Проверка ключей реестра (Run, RunOnce, Services), планировщика задач (schtasks), системных служб, WMI-подписок на события, драйверов ядра (особенно неподписанных).
- Анализ скрытых областей: Альтернативные потоки данных NTFS (ADS), теневые копии (Volume Shadow Copy), область загрузчика EFI (SPI Flash).
- Анализ журналов файловой системы: Анализ MFT (Master File Table), LogFile,LogFile,UsnJrnl для выявления удаленных файлов и временных меток аномальных операций.
4.3. Динамический анализ в изолированной среде 🏜️
Запуск подозрительных файлов в песочнице с мониторингом всех системных вызовов:
- Инструменты: Cuckoo Sandbox, CAPE, ANY.RUN, Joe Sandbox.
- Индикаторы заражения: Попытки доступа к системным базам данных (SAM, SECURITY), вызов SetWindowsHookEx (перехват клавиатуры), чтение буфера обмена (GetClipboardData), отправка данных на неизвестные IP-адреса (особенно в нестандартные порты), создание скрытых окон.
4.4. Анализ оперативной памяти (RAM Forensics) 🧠
- Инструменты: Volatility Framework, Rekall, Belkasoft RAM Capturer.
- Задачи: Поиск скрытых процессов (psscan), сетевых соединений (netscan), внедренных DLL (dlllist), хуков API (apihooks).
4.5. Низкоуровневый аппаратный анализ 💻
При подозрении на буткиты или прошивочные закладки применяются специальные методы:
- Извлечение прошивки SPI Flash: Использование SPI-программатора и flashrom.
- Анализ с помощью UEFITool и Chipsec: Извлечение и анализ отдельных компонентов прошивки (DXE-драйверы, NVAR-переменные).
- Особенности поиска на мобильных устройствах (Android / iOS) 📱
Поиск программ-шпионов на смартфоне и ПК на мобильных устройствах требует специфических подходов в силу архитектурных различий платформ.
5.1. Android 🤖
- Основной вектор: Приложения с правами специальных возможностей (Accessibility Service) — основной вектор для сталкерваров и банковских троянов, так как доступ к Accessibility позволяет читать все, что отображается на экране.
- Признаки: Пакеты с именами, похожими на системные, но с иной цифровой подписью; запрос на администрирование устройства (Device Admin).
- Метод: Анализ APK-файлов, проверка разрешений (доступ к SMS, контактам, геолокации, камере, микрофону), декомпиляция байт-кода. Mobile Verification Toolkit (MVT) и AndroidQF используются для сбора и анализа криминалистических данных с Android-устройств, включая обнаружение шпионского ПО.
5.2. iOS (iPhone) 🍏
- Основные векторы: Профили конфигурации (MDM), эксплуатация уязвимостей WebKit, использование корпоративных сертификатов для распространения приложений вне App Store. Графические шпионские программы, такие как Pegasus (NSO Group) и Graphite (Paragon Solutions), используют уязвимости нулевого дня с атаками нулевого клика (zero-click) — заражение происходит без взаимодействия пользователя.
- Признаки: Наличие неизвестных профилей в настройках, быстрый разряд батареи без видимых причин.
- Метод: Анализ бэкапа через MVT, проверка профилей конфигурации, анализ системных журналов (sysdiagnose) на предмет индикаторов шпионского ПО.
- Процессуальное оформление результатов: от отчета до суда 📄
Поиск программ-шпионов на смартфоне и ПК в рамках судебной экспертизы оформляется в виде заключения эксперта в соответствии с требованиями процессуального законодательства. Заключение должно содержать:
- Вводную часть: Основания для экспертизы (постановление суда или определение арбитражного суда), предупреждение эксперта об ответственности за дачу заведомо ложного заключения по ст. 307 УК РФ.
- Исследовательскую часть: Пошаговое описание действий эксперта с указанием использованного программного обеспечения и оборудования, хеш-суммы всех промежуточных и итоговых артефактов, обоснование примененных методик.
- Выводы: Категорические ответы на поставленные судом вопросы (не «вероятно», а «обнаружено/не обнаружено», «установлено/не установлено»).
Критически важные требования:
- Нарушение цепочки хранения доказательств (Chain of Custody) или работа с оригиналом носителя вместо копии делают заключение недопустимым доказательством (ст. 75 УПК РФ).
- Результат проверки массовым антивирусным сканером (Kaspersky, Dr.Web, ESET) не является доказательством в процессуальном смысле, поскольку не обеспечивает неизменность объекта, не документирует цепочку хранения и не гарантирует воспроизводимость результата.
- Заключение: практические рекомендации и выводы 🎯
Проведенный анализ позволяет сформулировать следующие выводы и практические рекомендации для всех участников процесса:
- Поиск программ-шпионов на смартфоне и ПК должен быть юридически обеспечен. Самостоятельная попытка удалить подозрительное ПО или провести поверхностную антивирусную проверку часто уничтожает следы и делает невозможным привлечение злоумышленников к ответственности. Ошибки на этапе изъятия и анализа могут стоить не только финансов, но и правовой защиты.
- Методология должна быть многоуровневой. Эффективный поиск программ-шпионов на смартфоне и ПК требует комбинации статического, динамического, сетевого и низкоуровневого аппаратного анализа. Ни один отдельный инструмент или метод не дает 100% гарантии обнаружения.
- Соблюдение процессуальных норм обязательно. Работа с оригиналом носителя, отсутствие write-blocker’а, нарушение цепочки хранения доказательств — все это влечет недопустимость заключения в суде. Необходимо использовать только сертифицированное оборудование и методики, соответствующие требованиям 73-ФЗ.
- Мобильные устройства требуют особого внимания. Смартфоны и планшеты стали основной целью шпионажа. Поиск программ-шпионов на смартфоне и ПК на них требует специфических подходов, включая анализ профилей конфигурации, разрешений приложений и использование специализированных инструментов (MVT).
Доверьте детекцию и юридическую фиксацию профессионалам. Более подробно с методологией и примерами заключений вы можете ознакомиться на нашем профильном ресурсе: https://fse.ms 🖥️





Задавайте любые вопросы