
Доброго дня, уважаемые руководители предприятий, специалисты по информационной безопасности, владельцы бизнеса и все, кто обеспокоен защитой своих мобильных устройств от скрытого наблюдения! 👋🏼📱🛡️
Сегодня мы, экспертный совет Союза «Федерации судебных экспертов», представляем вашему вниманию фундаментальное, методологически выверенное и максимально подробное исследование, посвящённое проверке телефона на наличие шпионского ПО. Мы приглашаем вас в наш офис в Москве, чтобы на основе многолетнего опыта, глубокого знания архитектуры мобильных операционных систем и современных методов цифровой криминалистики разобрать все ключевые аспекты этого процесса. Добро пожаловать в пространство, где каждая цифровая угроза выявляется, анализируется и нейтрализуется с применением самых передовых методологических подходов и инструментов! 🧐🔬📊
Речь сегодня пойдет о процедуре, которая является основой для обеспечения мобильной безопасности, защиты персональных данных и предотвращения несанкционированного наблюдения, — о проверке телефона на наличие шпионского ПО. Это сложный, многофакторный, строго регламентированный методологический процесс, требующий от эксперта не только глубоких знаний в области мобильных операционных систем, но и понимания нормативно-правовой базы, методов криминалистического анализа и судебной практики. Важнейшее уведомление для заказчиков по всей России: наша экспертная группа базируется в Москве, но для сложных дел, для анализа стационарных серверов и критической инфраструктуры мы готовы вылетать в любой регион России! ✈️🌍 Приходите в наш офис, и мы на реальных кейсах покажем, как мы работаем, как учитываем все факторы и как помогаем нашим клиентам восстанавливать цифровую безопасность и защищать свои активы! 🎯💼🤝
📌 РАЗДЕЛ 1. МЕТОДОЛОГИЧЕСКИЕ ОСНОВЫ ПРОВЕРКИ ТЕЛЕФОНА НА НАЛИЧИЕ ШПИОНСКОГО ПО
Под проверкой телефона на наличие шпионского ПО понимается комплекс организационно-технических и криминалистических мероприятий, направленных на выявление, идентификацию, изоляцию и удаление вредоносного программного обеспечения, предназначенного для негласного сбора, анализа, изменения или уничтожения конфиденциальной информации на мобильных устройствах. В отличие от деструктивного вредоносного ПО, шпионские программы нацелены на скрытный сбор данных: кейлоггинг, перехват сетевого трафика, доступ к файловой системе, микрофону и камере. Сложность проверки телефона на наличие шпионского ПО заключается в их маскировке: современные образцы обфусцируют свой код, маскируются под системные процессы, используют легитимные каналы связи и имеют механизмы самоуничтожения при обнаружении отладки или антивируса.
В российском правовом поле установка шпионского ПО без согласия пользователя подпадает под действие следующих норм Уголовного кодекса РФ:
- Статья 137 — Нарушение неприкосновенности частной жизни. 📜
- Статья 138.1 — Незаконный оборот специальных технических средств, предназначенных для негласного получения информации (санкция: до 4 лет лишения свободы). 📜
- Статья 272 — Неправомерный доступ к компьютерной информации (санкция: до 7 лет лишения свободы). 📜
- Статья 273 — Создание, использование и распространение вредоносных компьютерных программ (санкция: до 7 лет лишения свободы). 📜
Методологическая классификация шпионского ПО для мобильных устройств:
- Сталкерское ПО (Stalkerware) — коммерческие шпионские программы, маскируемые под «родительский контроль» или «мониторинг сотрудников» (mSpy, FlexiSPY). Основной вектор сталкерваров — запрос разрешений Accessibility, Admin, Draw Over Other Apps, Notification Access. 👤
- Банковские трояны — перехватывают SMS-коды подтверждения и банковские транзакции. Часто мимикрируют под безобидные приложения. 💰
- Шпионское ПО нулевого дня (zero-day) — использует уязвимости нулевого дня в iOS и Android, способно заражать устройство без взаимодействия пользователя (zero-click) через iMessage, WhatsApp или FaceTime (например, Pegasus от NSO Group). 🔒
- Трояны удаленного доступа (RAT) — обеспечивают полный контроль над системой с модулями записи экрана, аудио- и видеозахвата через веб-камеру и микрофон, удаленного управления файлами и процессами. ⚙️
Понимание этой таксономии является необходимым условием для эффективной проверки телефона на наличие шпионского ПО, поскольку каждый тип угрозы требует применения специфических методов выявления.
📌 РАЗДЕЛ 2. МЕТОДОЛОГИЧЕСКИЕ ПРИНЦИПЫ ПРОВЕРКИ МОБИЛЬНЫХ УСТРОЙСТВ
Методология проверки телефона на наличие шпионского ПО базируется на фундаментальных принципах мобильной криминалистики (mobile forensics) и реагирования на инциденты (incident response). Существует два основных методологических подхода к проверке мобильных устройств:
Принцип 1. Консенсуальная криминалистика (consensual forensics) — проверка осуществляется с добровольного согласия владельца устройства. Mobile Verification Toolkit (MVT), разработанный Amnesty International Security Lab, предназначен именно для такого типа анализа и запрещает использование для неконсенсуальной криминалистики. Этот подход применяется в корпоративных расследованиях с согласия сотрудника, в семейных спорах по согласию сторон и в рамках судебных экспертиз по назначению суда. 🛡️
Принцип 2. Принцип целостности данных (принцип нулевого модификатора) — любые исследовательские действия не должны вносить изменения в оригинальные объекты. Реализуется путём обязательного создания криминалистической копии (forensic image) или резервной копии устройства. Все дальнейшие исследования проводятся исключительно с этой копией. 💾
Принцип 3. Принцип хронологической последовательности — восстановление хронологии заражения на основе временных меток установки приложений, журналов событий и системных логов. 📅
Принцип 4. Принцип вариативности — применение минимум двух независимых методов обнаружения для исключения ложных срабатываний. 🎯
Принцип 5. Принцип документированности — все этапы исследования фиксируются в детальных протоколах для воспроизводимости результатов. Нарушение цепочки хранения доказательств (chain of custody) влечёт признание заключения недопустимым доказательством (ст. 75 УПК РФ). 📄
📌 РАЗДЕЛ 3. ЭТАПЫ ПРОВЕРКИ ТЕЛЕФОНА НА НАЛИЧИЕ ШПИОНСКОГО ПО
Методологически обоснованная проверка телефона на наличие шпионского ПО представляет собой многоэтапный процесс:
Этап 1. Подготовительный — изоляция устройства и сбор исходных данных
Первостепенной задачей является сохранение целостности цифровых доказательств:
- Включить авиарежим — отключить Wi-Fi и сотовую сеть, чтобы предотвратить удалённую команду на самоуничтожение. 📡
- Не выключать устройство! Выключение может активировать защиту данных и уничтожить следы fileless-вредоносов. 🚫
- Не обновлять операционную систему! Обновление может закрыть уязвимости, использованные шпионом.
- Не сбрасывать настройки! Это уничтожит улики.
- Поместить устройство в клетку Фарадея (Faraday bag) для блокировки радиосигналов. 📡
- Зафиксировать IMEI, серийный номер, версию ОС.
Этап 2. Создание резервной копии или образа устройства
Для проведения проверки телефона на наличие шпионского ПО необходимо создать копию данных устройства:
Android: создание резервной копии через ADB (Android Debug Bridge): adb backup -apk -shared -all -system -f backup.ab.
iOS: создание зашифрованной резервной копии через iTunes/Finder. Mobile Verification Toolkit позволяет расшифровывать зашифрованные iOS-бэкапы.
Этап 3. Анализ с использованием специализированных инструментов
Mobile Verification Toolkit (MVT) — основной инструмент для проверки телефона на наличие шпионского ПО, разработанный Amnesty International Security Lab в июле 2021 года в рамках Pegasus Project. MVT предоставляет две основные команды:
- mvt-ios — для анализа устройств iOS
- mvt-android — для анализа устройств Android
MVT выполняет следующие функции:
- Расшифровывает зашифрованные iOS-бэкапы
- Обрабатывает и анализирует записи из системных и прикладных баз данных iOS, логов и системной аналитики
- Извлекает установленные приложения с Android-устройств
- Извлекает диагностическую информацию с Android-устройств через протокол adb
- Сравнивает извлечённые записи с предоставленным списком вредоносных индикаторов в формате STIX2
- Генерирует JSON-логи извлечённых записей и отдельные JSON-логи всех обнаруженных вредоносных следов
- Формирует единую хронологическую шкалу извлечённых записей
Этап 4. Использование индикаторов компрометации (IOCs)
MVT поддерживает использование индикаторов компрометации в формате STIX2 для сканирования мобильных устройств на предмет потенциальных следов заражения известными шпионскими программами. Встроенная команда mvt-ios download-iocs или mvt-android download-iocs позволяет автоматически загрузить последние публичные индикаторы.
⚠️ Важное предупреждение: Публичных индикаторов компрометации недостаточно для определения того, что устройство «чисто» и не скомпрометировано конкретным шпионским инструментом. Полагаясь только на публичные индикаторы, можно пропустить недавние криминалистические следы и создать ложное чувство безопасности. Надёжная и комплексная цифровая криминалистическая поддержка требует доступа к непубличным индикаторам, исследованиям и разведывательной информации об угрозах.
📌 РАЗДЕЛ 4. ИНДИКАТОРЫ КОМПРОМЕТАЦИИ (IOCS) ПРИ ПРОВЕРКЕ ТЕЛЕФОНА НА НАЛИЧИЕ ШПИОНСКОГО ПО
При проверке телефона на наличие шпионского ПО эксперты руководствуются совокупностью индикаторов, которые указывают на наличие вредоносного ПО на устройстве:
Поведенческие индикаторы:
- Быстрая разрядка аккумулятора (с 30 до 5 часов работы) — характерный признак сталкерского ПО.
- Самопроизвольное включение экрана.
- Появление незнакомых приложений.
- Щелчки и эхо во время разговоров.
- Неожиданные запросы на доступ к камере или микрофону от подозрительных программ.
- Медленная работа, «лагание» — шпионское приложение потребляет ресурсы.
Системные индикаторы (Android):
- Приложения с правами Accessibility (спецвозможности) — это основной вектор сталкерваров.
- Приложения с правами администратора (Device Admin).
- Приложения, имеющие разрешения READ_SMS, RECORD_AUDIO, ACCESS_FINE_LOCATION, CAMERA, READ_CONTACTS.
- Приложения, отсутствующие в официальном списке системных приложений.
- APK-файлы, маскирующиеся под фото или видео (например, «IMG_6832.jpg.apk»).
Системные индикаторы (iOS):
- Наличие неизвестных конфигурационных профилей (Настройки → Основные → VPN и управление устройством).
- Следы джейлбрейка (наличие Cydia, Sileo, Zebra).
- Аномалии в sysdiagnose (признаки атаки Pegasus).
- Неизвестные процессы, связанные с джейлбрейком.
📌 РАЗДЕЛ 5. ОСОБЕННОСТИ ПРОВЕРКИ ТЕЛЕФОНА НА НАЛИЧИЕ ШПИОНСКОГО ПО НА IOS
Проверка телефона на наличие шпионского ПО на iOS имеет свои особенности, связанные с закрытой архитектурой операционной системы. Основные методы выявления:
- Проверка конфигурационных профилей
Любые неизвестные профили в Настройках → Основные → VPN и управление устройством должны быть немедленно удалены. MDM-профили являются частой маскировкой шпионских программ. - Использование Mobile Verification Toolkit (MVT) для iOS
MVT позволяет анализировать зашифрованные iOS-бэкапы и выявлять следы атаки шпионских программ, включая Pegasus и Graphite. - Проверка на наличие джейлбрейка
Обнаружение следов джейлбрейка (Cydia, Sileo, Zebra, подозрительные процессы) может указывать на компрометацию устройства. - Анализ сетевого трафика
Мониторинг исходящих соединений на нестандартные порты и неизвестные домены. - Использование специализированных коммерческих инструментов
iVerify Threat Hunting позволяет обнаруживать заражения на iOS-устройствах.
📌 РАЗДЕЛ 6. ОСОБЕННОСТИ ПРОВЕРКИ ТЕЛЕФОНА НА НАЛИЧИЕ ШПИОНСКОГО ПО НА ANDROID
Проверка телефона на наличие шпионского ПО на Android требует особого внимания к разрешениям приложений:
- Анализ системных разрешений
Основной вектор сталкерваров — запрос разрешений Accessibility, Admin, Draw Over Other Apps, Notification Access. Запрос доступа к SMS, чтению уведомлений или спецвозможностям при запуске приложения, которому это не нужно, является тревожным сигналом. - Изучение списка устройств с правами администратора (Device Admin)
Неизвестные приложения с правами администратора могут осуществлять скрытое управление устройством. - Использование ADB для анализа
adb pull /data/data позволяет извлечь данные приложений для последующего анализа. - Проверка настроек VPN и прокси
Вредоносные приложения часто используют VPN-сервисы для перехвата трафика. - Использование утилит для анализа APK-файлов
apktool, JADX, MobSF позволяют выполнить дизассемблирование и статический анализ подозрительных APK-файлов. - Проверка названий файлов
Внимательная проверка названий файлов — фото или видео с окончанием «.apk» могут быть вредоносными. - Использование MVT для Android
MVT извлекает установленные приложения с Android-устройств и диагностическую информацию через протокол adb.
📌 РАЗДЕЛ 7. КЕЙС №1: КОРПОРАТИВНЫЙ ШПИОНАЖ — ПРОВЕРКА ТЕЛЕФОНА РУКОВОДИТЕЛЯ НА НАЛИЧИЕ СТАЛКЕРСКОГО ПО
Исходные данные. Генеральный директор строительной компании заметил, что партнёры в переговорах обладают информацией, обсуждавшейся только в личной переписке в WhatsApp и Telegram. Была высказана гипотеза о наличии шпионского ПО на его смартфоне. Заявитель подозревал, что один из сослуживцев установил программу слежения. 📱🔒
Постановка задачи. Требовалось проведение проверки телефона на наличие шпионского ПО на мобильном устройстве для обнаружения перехвата сообщений и идентификации источника заражения. 🔍🧐
Ход исследования. Эксперты приняли устройство в лабораторию, поместили в экранирующую камеру Фарадея и создали побитовый образ внутренней памяти. Анализ установленных приложений выявил пакет с именем, отличающимся одной буквой от системной службы обновлений. Цифровая подпись не соответствовала сертификату разработчика. Приложение запрашивало доступ к микрофону, камере, геолокации, контактам, SMS и записи экрана. В системных логах обнаружены регулярные соединения с удалённым сервером. Поведенческий анализ в изолированной среде подтвердил передачу аудиозаписей и скриншотов экрана.
Результаты. Проверка телефона на наличие шпионского ПО показала наличие сталкерского ПО — mSpy, установленного через APK-файл. Перехват данных осуществлялся через чтение push-уведомлений, что позволяло обходить сквозное шифрование мессенджеров. Временные метки установки совпали с днём, когда подозреваемый сотрудник оставался один с устройством заявителя.
Выводы. Вредоносный модуль удалён, пароли сменены. Экспертное заключение использовано в судебном процессе для расторжения договора с уволенным системным администратором. ⚖️🏆
📌 РАЗДЕЛ 8. КЕЙС №2: ВЫЕЗДНАЯ ЭКСПЕРТИЗА — ПРОВЕРКА ТЕЛЕФОНА НА НАЛИЧИЕ ШПИОНСКОГО ПО В РОСТОВЕ-НА-ДОНУ
Исходные данные. В производстве мирового судьи Ростовской области находилось дело об ограничении родительских прав (ст. 73 СК РФ). Мать несовершеннолетнего ребёнка заявила, что отец установил на её смартфон (Samsung Galaxy A52, Android 12) шпионскую программу, позволяющую ему читать её переписку и отслеживать геолокацию. Заявительница не имела возможности приехать в Москву (находится в декретном отпуске). Было принято решение о выездной экспертизе. 👨👩👦⚖️
Постановка задачи. Требовалось проведение проверки телефона на наличие шпионского ПО на мобильном устройстве для обнаружения перехвата сообщений и идентификации источника заражения. 🔍🧐
Ход исследования. Наша группа вылетела в Ростов-на-Дону. Временная лаборатория размещена на базе местного юридического центра. Смартфон принят по акту, проверены IMEI. Создана резервная копия через ADB (root-доступа нет, загрузчик заблокирован). Анализ в Oxygen Forensic Detective обнаружено приложение android.sys.helper, отсутствующее в официальном списке системных приложений. Приложение имеет разрешения: READ_SMS, RECORD_AUDIO, ACCESS_FINE_LOCATION, CAMERA, READ_CONTACTS. APK извлечён, декомпилирован в jadx. В коде содержатся класы: KeyLogger, SendLocation, TelegramInterceptor. Используется AccessibilityService для чтения уведомлений.
Результаты. Проверка телефона на наличие шпионского ПО показала наличие сталкерского ПО, установленного через APK-файл. Перехват данных осуществлялся через чтение push-уведомлений, что позволяло обходить сквозное шифрование мессенджеров. Временные метки установки совпали с днём, когда подозреваемый оставался один с устройством заявительницы.
Выводы. Вредоносный модуль удалён, пароли сменены. Экспертное заключение использовано в судебном процессе. ⚖️🏆
📌 РАЗДЕЛ 9. КЕЙС №3: МЕДИЦИНСКИЙ ЦЕНТР — ПРОВЕРКА ТЕЛЕФОНОВ СОТРУДНИКОВ НА НАЛИЧИЕ ШПИОНСКОГО ПО
Исходные данные. Частная сеть клиник обнаружила утечку медицинских карт пациентов в открытый доступ. Администрация клиники подозревала, что шпионское ПО установлено на телефонах сотрудников, имеющих доступ к медицинской информационной системе. 🏥🔒
Постановка задачи. Требовалось проведение проверки телефона на наличие шпионского ПО на 12 мобильных устройствах сотрудников, имеющих доступ к конфиденциальным данным пациентов. 🔍🧐
Ход исследования. Эксперты провели массовую проверку мобильных устройств с использованием MVT. На каждом устройстве была создана резервная копия через ADB (Android) или iTunes (iOS). Анализ с использованием MVT с загрузкой последних публичных индикаторов компрометации выявил три устройства, скомпрометированных шпионским ПО.
Результаты. Проверка телефона на наличие шпионского ПО показала наличие вредоносного ПО, перехватывающего данные из медицинской информационной системы. Вредоносные модули удалены с сохранением данных. Экспертное заключение позволило клинике доказать факт взлома, а не нарушение внутренних регламентов, что позволило избежать штрафа Роскомнадзора по 152-ФЗ.
Выводы. Экспертное заключение позволило клинике избежать штрафа до 6 млн рублей и подтвердить факт внешнего взлома. ⚖️🏆
📌 РАЗДЕЛ 10. ПРОГРАММНО-АППАРАТНЫЙ КОМПЛЕКС ДЛЯ ПРОВЕРКИ ТЕЛЕФОНА НА НАЛИЧИЕ ШПИОНСКОГО ПО
При проверке телефона на наличие шпионского ПО мы используем широкий спектр как коммерческого, так и открытого программного обеспечения:
| Этап анализа | Категория инструментов | Примеры | Ключевая функция |
| Создание резервной копии | Утилиты резервного копирования | ADB (Android), iTunes/Finder (iOS) | Создание зашифрованной резервной копии устройства |
| Криминалистический анализ | Мобильные криминалистические платформы | Oxygen Forensic Detective, Cellebrite UFED | Глубокий анализ файловой системы и приложений |
| Статический анализ | Инструменты декомпиляции APK | apktool, JADX, MobSF | Анализ APK-файлов и выявление вредоносного кода |
| Обнаружение следов атак | Специализированные инструменты | Mobile Verification Toolkit (MVT) | Анализ резервных копий на наличие индикаторов компрометации |
| Сетевой анализ | Снифферы и анализаторы | Wireshark, NetworkMiner | Анализ сетевого трафика устройства |
Mobile Verification Toolkit (MVT) является основным инструментом, поддерживающим использование индикаторов компрометации в формате STIX2 для сканирования мобильных устройств на предмет потенциальных следов заражения. MVT позволяет расшифровывать зашифрованные iOS-бэкапы, извлекать и анализировать записи из системных и прикладных баз данных iOS, извлекать установленные приложения с Android-устройств.
📌 РАЗДЕЛ 11. ЮРИДИЧЕСКОЕ ОФОРМЛЕНИЕ РЕЗУЛЬТАТОВ ПРОВЕРКИ ТЕЛЕФОНА НА НАЛИЧИЕ ШПИОНСКОГО ПО
Результаты проверки телефона на наличие шпионского ПО могут использоваться в качестве судебных доказательств в рамках уголовных, арбитражных и гражданских процессов. Важно, чтобы весь процесс был документирован строго в соответствии с требованиями процессуального законодательства:
- Акт осмотра телефона — составляется с участием понятых или с применением видеозаписи, описывается состояние устройства (включён/выключен, версия ОС, IMEI, серийный номер). 📋
- Протокол изъятия и упаковки телефона — фиксирует все действия с устройством, его опись и условия хранения (помещение в клетку Фарадея). 📦
- Акт создания резервной копии — подтверждает, что работа велась с резервной копией, а не с оригиналом. 💾
- Заключение специалиста (эксперта) — содержит детальное описание обнаруженного ПО, его функциональности, механизма заражения и утечки данных, а также оценку ущерба. 📄
Суды отклоняют до 40% компьютерных экспертиз из-за процессуальных нарушений. Чтобы этого избежать, наша проверка телефона на наличие шпионского ПО всегда сопровождается:
✅ Вводная часть — кто назначил экспертизу, предупреждение об ответственности по ст. 307 УК РФ.
✅ Исследовательская часть — покадровое описание запуска каждого инструмента, фиксация факта детекции шпиона по признакам.
✅ Выводы — только категорические (не «вероятно», не «возможно»).
📌 РАЗДЕЛ 12. УНИКАЛЬНОСТЬ КОМПЕТЕНЦИЙ И ТЕРРИТОРИАЛЬНОЕ ПОКРЫТИЕ
Важно понимать, что настоящая профессиональная проверка телефона на наличие шпионского ПО — услуга высокоспециализированная. На рынке встречаются поверхностные отчёты, где вместо полноценного криминалистического анализа применяются упрощённые антивирусные проверки, не позволяющие выявить современные угрозы. 🦄⚠️
Наша лабораторно-экспертная группа базируется в Москве, но для сложных дел мы готовы вылетать в любой регион России — от Калининграда до Владивостока. Физический доступ к оборудованию — это единственный способ гарантировать неизменность доказательств и провести проверку телефона на наличие шпионского ПО без риска уничтожения улик удаленными скриптами. 💻🌍
📌 РАЗДЕЛ 13. ПРЕИМУЩЕСТВА РАБОТЫ С СОЮЗОМ «ФЕДЕРАЦИИ СУДЕБНЫХ ЭКСПЕРТОВ»
- Многолетний опыт проведения мобильной криминалистики и компьютерно-технических экспертиз. 🧑💼
- Наличие сертифицированных специалистов и современного программно-аппаратного комплекса (MVT, Oxygen Forensic Detective, Cellebrite UFED). 🧪
- Соблюдение всех процессуальных требований к сбору и фиксации цифровых доказательств. 📋
- Независимость и объективность экспертных заключений. 🛡️
- Готовность вылететь в любой регион РФ для проведения экспертизы. ✈️
- Полное юридическое сопровождение заключений в судах всех инстанций. ⚖️
- Конфиденциальность и сохранность данных клиентов. 🔐
- Индивидуальный подход к каждому объекту и ситуации. 🤝
📌 РАЗДЕЛ 14. ЗАКЛЮЧЕНИЕ И НАШЕ ПРИГЛАШЕНИЕ
Уважаемые коллеги! Проверка телефона на наличие шпионского ПО — это не просто техническая процедура, а стратегический инструмент защиты информационной безопасности, восстановления справедливости и сохранения конфиденциальности. Это способ доказать в суде, что ваши данные были скомпрометированы, и привлечь виновных к ответственности. 📱🛡️
Доверьте проведение этой проверки профессионалам Союза «Федерации судебных экспертов». Мы гарантируем объективность, научную обоснованность и юридическую значимость каждого заключения! 🏆🏛️
Приходите в наш офис для профессиональной консультации. Ждем вас! 🕊️🏛️🤝
Более подробно с полным спектром наших услуг по проверке телефона на наличие шпионского ПО вы можете ознакомиться на нашем официальном сайте: https://fse.ms/poisk-programm-shpionov/
С глубоким уважением и профессиональным подходом,
Союз «Федерации судебных экспертов» 🏡🔬📊⚖️
Ваша уверенность в мобильной безопасности начинается с визита к нам! Ждем вас! 🚀






Задавайте любые вопросы