
Профессиональные услуги по проверке смартфонов и планшетов на наличие шпионского ПО представляют собой системную инженерную процедуру, базирующуюся на методологии цифровой криминалистики (digital forensics), включающую статический анализ артефактов, форензику оперативной памяти, поведенческое профилирование и, при необходимости, аппаратное исследование прошивки. Настоящая статья представляет собой детализированное инженерное руководство, описывающее таксономию угроз, лабораторный инструментарий, процедурные регламенты и эмпирические кейсы, иллюстрирующие многообразие векторов проникновения. 🛠️📱🔍
- Инженерная постановка задачи: архитектура угроз и требования к системе детекции
1.1. Формализация проблемы 📐
С инженерной точки зрения, задача обнаружения шпионского ПО на мобильном устройстве сводится к идентификации несанкционированного программного кода, функционирующего в пользовательском или привилегированном пространстве операционной системы и осуществляющего сбор, обработку и передачу данных. Ключевые технические вызовы:
- Обфускация кода: использование упаковщиков (UPX, VMProtect, Themida), полиморфных декодеров и шифрования строк
- Маскировка в системных процессах: внедрение в процессы Android (system_server, com.android.phone) или iOS-демоны
- Легитимные каналы связи: передача данных через HTTPS, DNS-over-HTTPS, Telegram Bot API, WebDAV
- Механизмы самоуничтожения: активация удалённого стирания (remote wipe) при обнаружении нестандартной среды
- Загрузка по требованию: основное тело вредоноса подтягивается только с C&C-сервера в момент исполнения
1.2. Требования к системе детекции ⚙️
Профессиональные услуги по проверке смартфонов и планшетов на наличие шпионского ПО должны удовлетворять следующим инженерным требованиям:
| Критерий | Требование | Обоснование |
| Глубина доступа | Физический (побитовый) дамп всей памяти, включая системные разделы | Стандартный доступ через ОС не позволяет исследовать скрытые и удалённые файлы |
| Неизменность данных | Криминалистически чистое копирование через write-blocker с хэшированием SHA-256 | Обеспечение доказательной ценности для судебных процессов |
| Многоуровневость | Сочетание сигнатурного, статического, поведенческого и аппаратного анализа | Ни один метод не даёт 100% гарантии против полиморфных и бесфайловых угроз |
| Юридическая значимость | Оформление результатов в виде структурированного экспертного заключения | Использование в уголовных, гражданских и арбитражных процессах |
- Таксономия угроз: инженерная классификация шпионского ПО
Формирование эффективной методологии услуг по проверке смартфонов и планшетов на наличие шпионского ПО требует систематизации объектов исследования. Классификация может быть построена по функциональному назначению и по стелс-технологиям.
2.1. Классификация по функциональным возможностям 🎯
- Кейлоггеры (Keyloggers). Перехватывают ввод с экранной клавиатуры, включая логины, пароли, сообщения и поисковые запросы. На Android реализуются через сервисы специальных возможностей (Accessibility Service), на iOS — через недокументированные API или уязвимости джейлбрейка.
- Трояны удалённого доступа (RAT). Наиболее опасный класс. Обеспечивают полный удалённый контроль: активация камеры и микрофона, геолокация в реальном времени, извлечение файлов из облачных хранилищ (Google Drive, iCloud), перехват сообщений из шифрованных мессенджеров (Telegram, WhatsApp) путём захвата экрана или доступа к уведомлениям.
- Информационные сборщики (Data Harvesters). Специализируются на агрегации конкретных данных: история звонков и контакты, галерея изображений, история браузера, метаданные файлов, кэши приложений.
- Сталкерское ПО (Stalkerware). Коммерческие пакеты (mSpy, FlexiSPY, Cocospy), изначально разработанные для родительского контроля, но используемые для скрытого слежения без согласия наблюдаемого лица. Имеют собственные механизмы сокрытия: скрытый значок, маскировка под системные процессы, использование легальных цифровых сертификатов.
- Сетевые снифферы (Sniffers). Перехватывают сетевые пакеты на заражённом хосте, работая в режиме promiscuous mode. Используются для кражи сессионных токенов и незашифрованного трафика.
2.2. Классификация по методу инсталляции 🚪
На основе анализа эмпирических кейсов можно выделить следующие основные векторы проникновения, каждый из которых требует специфического подхода в рамках услуг по проверке смартфонов и планшетов на наличие шпионского ПО:
- Фишинг и социальная инженерия. Наиболее распространённый вектор. Вредоносное ПО маскируется под легитимные приложения (обновления, системы безопасности, утилиты) и устанавливается самим пользователем в результате перехода по ссылке или открытия вложения.
- Физический доступ к устройству. Прямая установка злоумышленником, часто с предварительным получением прав суперпользователя (root) на Android или использованием уязвимостей для джейлбрейка на iOS. Характерен для бытового и корпоративного шпионажа.
- Атаки через цепочку поставок (Supply-Chain Attacks). Компрометация легитимных приложений на этапе разработки или распространения через сторонние магазины приложений.
- Бескликовые атаки (Zero-Click). Эксплуатация уязвимостей в сетевых протоколах или приложениях без какого-либо взаимодействия со стороны пользователя. Используются наиболее продвинутыми шпионскими платформами (Pegasus, Hermit, Dante).
- Аппаратные закладки и модификация прошивки. Вредоносный код внедряется на уровне загрузчика (bootloader) или модема. Не удаляется переустановкой ОС. Обнаруживается только аппаратными методами с использованием программаторов.
- Лабораторная процедура: инженерный регламент экспертного исследования
Профессиональные услуги по проверке смартфонов и планшетов на наличие шпионского ПО реализуются через строго регламентированную многофазную процедуру, соответствующую стандартам цифровой криминалистики.
3.1. Фаза 1: Подготовка и криминалистическая изоляция ⛓️💾
Первостепенной инженерной задачей является сохранение целостности цифровых доказательств.
- Физическая изоляция: Устройство помещается в экранирующую камеру Фарадея для блокировки всех радиоканалов (GSM/4G/5G, Wi-Fi, Bluetooth, NFC). Это предотвращает дистанционную команду на удаление данных (remote wipe), активируемую многими продвинутыми RAT-клиентами при обнаружении нестандартной среды.
- Сохранение состояния RAM: В отличие от стационарных ПК, дамп оперативной памяти мобильного устройства требует специализированных аппаратно-программных комплексов. Выполняется извлечение содержимого оперативной памяти через JTAG/ISP-интерфейсы или с использованием уязвимостей загрузчика.
- Создание физического дампа: С использованием аппаратно-программных комплексов (Cellebrite UFED, Oxygen Forensic Detective, Magnet AXIOM) создаётся побитовая (bit-for-bit) копия всей доступной памяти: пользовательские данные, системные разделы, кэш, журналы событий, файлы подкачки.
- Хэширование: Каждый образ снабжается хэш-суммами (MD5, SHA-256) для обеспечения неизменности и доказательной ценности. Оригинал устройства не модифицируется.
3.2. Фаза 2: Статический анализ файловой системы 🔍📁
Работа ведётся с полученным образом памяти, что исключает изменение оригинальных данных. Ключевые инженерные направления:
- Восстановление файловой структуры: Построение полного дерева файлов, включая данные системных и пользовательских приложений (/data/data/ на Android, Containers на iOS).
- Сигнатурный поиск: Использование баз YARA-правил (более 5000 сигнатур spyware), ClamAV, а также собственных коллекций. Пример правила для сталкерского ПО: rule mSpy_android { strings: $a = «com.mspy.cellcontrol» $b = «mspy.server.com» condition: any of them }.
- Анализ манифеста приложения: Проверка разрешений, запрашиваемых приложениями (доступ к SMS, контактам, геолокации, камере, микрофону, возможности отображения окон поверх других приложений).
- Проверка цифровых подписей: Сравнение цифровых подписей исполняемых файлов с эталонными базами производителей. Поддельная подпись выявляется по несоответствию хэш-суммы сертификата.
- Анализ точек персистентности: Исследование механизмов автозагрузки, обеспечивающих запуск шпионского ПО после перезагрузки устройства (Broadcast Receivers, Services, JobScheduler).
- Анализ удалённых файлов: Использование инструментов восстановления (Scalpel, Photorec) для извлечения удалённых установочных файлов, логов и системных журналов.
3.3. Фаза 3: Поведенческий анализ и форензика оперативной памяти 🧠🔬
Данный этап применяется для обнаружения наиболее сложных угроз, включая бесфайловое ПО и руткиты.
- Анализ дампов оперативной памяти: С использованием специализированных фреймворков выполняется парсинг структур данных в дампе памяти. Выявляются скрытые процессы, внедрённые модули, открытые сетевые сокеты.
- Анализ сетевой активности: Реконструкция сетевого трафика из кэша и временных файлов браузеров, а также из дампов сетевых библиотек. Выявление аномальных DNS-запросов (DGA), соединений с IP-адресами, ассоциированными с киберпреступной инфраструктурой, TLS-рукопожатий с самоподписанными сертификатами.
- Поведенческий анализ в изолированной среде (песочнице): Воссоздание критических участков файловой системы для запуска подозрительных процессов. Мониторинг системных вызовов (syscalls), создания новых процессов, попыток доступа к чувствительным данным и установки сетевых соединений. Инструменты: Cuckoo Sandbox (с поддержкой Android через CAPE), ANY.RUN.
3.4. Фаза 4: Аппаратный анализ прошивки (для сложных случаев) 🛠️
Если шпионский модуль внедрён в прошивку загрузчика (bootloader) или модем:
- Выпайка микросхемы памяти (NAND/eMMC) с платы устройства.
- Чтение через SPI-программатор (flashrom, специализированные программаторы).
- Анализ полученного дампа с последующим выявлением аномальных инструкций и нештатных разделов.
- Сравнение с эталонной прошивкой от производителя.
3.5. Фаза 5: Документирование и юридическая квалификация 📜⚖️
Все выявленные артефакты связываются в логическую цепочку, доказывающую факт установки и функционирования шпионского ПО. Результаты оформляются в виде структурированного экспертного заключения, которое имеет юридическую силу и может быть использовано в судебных процессах.
- Инструментальная база: технологический стек экспертной лаборатории
Эффективность услуг по проверке смартфонов и планшетов на наличие шпионского ПО напрямую зависит от используемого инструментария. Ниже представлена систематизация инструментов по этапам анализа:
| Этап анализа | Категория инструментов | Примеры | Назначение |
| Извлечение данных | Аппаратно-программные комплексы | Cellebrite UFED, Oxygen Forensic Detective, Magnet AXIOM | Физический дамп памяти, криминалистическое копирование, извлечение артефактов |
| Статический анализ APK/IPA | Декомпиляторы, анализаторы | jadx, Ghidra, IDA Pro, radare2 | Декомпиляция, анализ исходного кода, выявление обфускации и шпионских функций |
| Анализ файловой системы | Криминалистические анализаторы | X-Ways Forensics, Autopsy, The Sleuth Kit | Поиск скрытых и удалённых файлов, анализ метаданных, восстановление временной шкалы |
| Анализ памяти | Фреймворки форензики | Volatility 3 (с профилями Android), MemProcFS | Парсинг структур ОС в дампе памяти, выявление скрытых процессов и хуков |
| Поведенческий анализ | Системы песочниц | Cuckoo Sandbox (CAPE — Android), ANY.RUN | Автоматизированный отчёт о поведении образца: вызовы API, сетевые соединения |
| Сетевой анализ | Снифферы и анализаторы | Wireshark, NetworkMiner, Zeek, Suricata | Перехват и анализ трафика, обнаружение C2-соединений |
| Аппаратный анализ | Программаторы, анализаторы протоколов | SPI-программатор (flashrom), JTAG-отладчики | Извлечение и анализ прошивки, физический осмотр портов |
- Эмпирические кейсы: инженерный анализ векторов проникновения
Рассмотрение реальных случаев из экспертной практики позволяет конкретизировать методологические принципы и продемонстрировать разнообразие угроз, требующих профессиональных услуг по проверке смартфонов и планшетов на наличие шпионского ПО.
Кейс №1: Государственный уровень — операция иностранных спецслужб 🏛️🇷🇺
Федеральная служба безопасности РФ вскрыла и задокументировала широкомасштабную акцию иностранных спецслужб по внедрению вредоносного ПО на мобильные средства коммуникации высокопоставленных российских государственных служащих. Вредоносное ПО использовалось для снятия данных, прослушивания переговоров, а также негласного акустического и видеоконтроля обстановки вблизи электронных устройств. С использованием технических возможностей крупных международных IT-корпораций осуществлялось скрытое несанкционированное снятие информации с устройств объектов кибератаки. Следственным управлением ФСБ возбуждено уголовное дело по статьям 272 и 273 УК РФ. Данный кейс демонстрирует необходимость услуг по проверке смартфонов и планшетов на наличие шпионского ПО на аппаратном уровне.
Кейс №2: Операция «Форумный тролль» — атака с использованием Dante 🎯🦠
В начале 2025 года эксперты «Лаборатории Касперского» выявили операцию «Форумный тролль» — тщательно спланированную атаку, направленную против сотрудников СМИ, государственных учреждений, научных и финансовых организаций на территории России. Злоумышленники использовали фишинговую рассылку, маскируя письма под приглашения на экспертный форум «Примаковские чтения». Достаточно было открыть ссылку в браузере Chrome — устройство заражалось без каких-либо дополнительных действий со стороны пользователя. Атака использовала уязвимость нулевого дня CVE-2025-2783 в Chrome, что указывает на высокий уровень подготовки организаторов.
Центральным элементом операции стал зловред LeetAgent, схожий по структуре и принципам работы с коммерческим шпионским ПО Dante, созданным компанией Memento Labs (бывшая HackingTeam). Это первый подтверждённый случай использования Dante в реальных кибератаках. Данный кейс демонстрирует необходимость глубокого реверс-инжиниринга и сопоставления кода с известными образцами коммерческого шпионского ПО в ходе услуг по проверке смартфонов и планшетов на наличие шпионского ПО.
Кейс №3: Атака на авиазавод через фишинговое вложение (CargoTalon) 🏭📧
Экспертами SEQRITE Labs была выявлена кибершпионская операция CargoTalon, целью которой был российский авиазавод. Злоумышленники использовали адресный фишинг, маскируя вредонос под транспортную накладную. Письмо содержало вложение, имитирующее товарно-транспортную накладную, но вместо ZIP-архива внутри находился исполняемый файл формата DLL. LNK-файл активировал PowerShell-скрипт, который сканировал пользовательские директории и создавал документ Excel, скрывающий вредоносный модуль EAGLET — DLL-имплант для сбора информации и управления заражёнными системами.
Вариант проникновения: Корпоративный фишинг с использованием вложений, имитирующих транспортные документы.
Инженерный анализ: Данный кейс демонстрирует, что атаки могут быть нацелены не только на мобильные устройства, но и на рабочие станции. В рамках услуг по проверке смартфонов и планшетов на наличие шпионского ПО специалисты должны учитывать, что заражение может распространяться через синхронизацию устройств с корпоративными системами.
Кейс №4: LunaSpy — массовая шпионская кампания на Android в России 🇷🇺🦠
«Лаборатория Касперского» обнаружила более 3000 атак на владельцев Android-устройств в России с использованием трояна LunaSpy. Злоумышленники распространяли LunaSpy через мессенджеры под видом защитного решения для смартфона и финансовых сервисов. Вредоносное ПО имитировало работу антивируса, показывая уведомления об обнаруженных киберугрозах, чтобы убедить пользователя предоставить необходимые разрешения.
Технические детали: LunaSpy способен записывать видео и звук, отслеживать геолокацию, записывать экран, следить за активностью в мессенджерах и браузерах, красть пароли, получать доступ к журналу звонков и списку контактов, читать SMS и отправлять собранные данные атакующим. Также обнаружен код для кражи фотографий из галереи телефона.
Инженерный анализ: Данный кейс иллюстрирует массовый вектор атак через социальную инженерию. В рамках услуг по проверке смартфонов и планшетов на наличие шпионского ПО критическое значение имеет анализ запрашиваемых разрешений и поведенческое профилирование приложений, имитирующих легитимные сервисы.
- Признаки компрометации: инженерные индикаторы для инициации проверки
На основе систематизации эмпирических данных можно выделить следующие группы признаков, указывающих на возможное наличие шпионского ПО и необходимость проведения профессиональных услуг по проверке смартфонов и планшетов на наличие шпионского ПО :
6.1. Аномальное поведение устройства 📉
- Быстрая разрядка аккумуляторной батареи без видимых причин (шпионские модули работают в фоновом режиме)
- Перегрев корпуса при отсутствии ресурсоёмких задач
- Замедление работы, зависания, самопроизвольные перезагрузки
6.2. Подозрительная сетевая активность 🌐
- Повышенный расход интернет-трафика без видимых причин
- Обнаружение неизвестных исходящих соединений в нестандартные порты (5555, 6666, 31337)
- Аномальные DNS-запросы к доменам с высоким коэффициентом энтропии
6.3. Подозрительная активность в системе ⚙️
- Наличие незнакомых приложений, процессов или служб с именами, похожими на системные (sysupdate, winkey64, Play Services с нестандартной подписью)
- Самопроизвольная активация камеры, микрофона или вспышки
- Посторонние шумы, эхо или щелчки во время телефонных разговоров
- Отключение или некорректная работа антивирусного ПО
6.4. Компрометация информационного окружения 🕵️
- Злоумышленник демонстрирует знание информации, которой у него не должно быть (детали разговоров, переписки, маршруты передвижения)
- Процессуальные основания и юридическая квалификация
Результаты услуг по проверке смартфонов и планшетов на наличие шпионского ПО могут служить основанием для возбуждения уголовного дела. Суд может назначить экспертизу в рамках уголовного дела (ст. 195 УПК РФ), гражданского или арбитражного дела (ст. 79 АПК РФ, ст. 79 ГПК РФ).
Типовые вопросы суда эксперту :
- Обнаружены ли на представленном для исследования мобильном устройстве программы, предназначенные для негласного получения информации?
- Каков механизм их работы (кейлоггинг, скриншоттинг, доступ к микрофону/камере)?
- Когда и с какого IP-адреса производилась установка?
- Какой объём информации был скомпрометирован и куда она передавалась?
Для того чтобы экспертное заключение имело силу доказательства, оно должно быть получено с соблюдением всех процессуальных норм: экспертиза назначается на основании постановления следователя или определения суда, эксперт предупреждается об ответственности по ст. 307 УК РФ за дачу заведомо ложного заключения.
- Алгоритм действий при подозрении на слежку
При обнаружении признаков цифрового наблюдения или несанкционированного доступа к устройству рекомендуется строго соблюдать следующий инженерный алгоритм :
- НЕ ПРЕДПРИНИМАТЬ САМОСТОЯТЕЛЬНЫХ ДЕЙСТВИЙ ПО УДАЛЕНИЮ! 🛑 Уничтожение файлов или сброс настроек приведёт к потере цифровых следов, которые являются доказательной базой для правоохранительных органов.
- НЕМЕДЛЕННО ОТКЛЮЧИТЬ УСТРОЙСТВО ОТ СЕТИ ИНТЕРНЕТ. ✈️ Перевести телефон в режим «в самолёте». Это остановит передачу данных на сервер злоумышленника.
- НЕ ВЫКЛЮЧАТЬ УСТРОЙСТВО. Перезагрузка может уничтожить следы в оперативной памяти, критичные для обнаружения бесфайловых угроз.
- ЗАФИКСИРОВАТЬ ИМЕЮЩИЕСЯ ДАННЫЕ: сделать скриншоты подозрительных уведомлений, сохранить чеки о списании средств.
- НЕЗАМЕДЛИТЕЛЬНО ОБРАТИТЬСЯ К ЭКСПЕРТАМ. Чем раньше начата диагностика, тем больше данных можно восстановить из системных журналов, которые перезаписываются в течение ограниченного времени.
Ознакомьтесь с полным перечнем услуг и методик диагностики на официальной странице 🔗
Заключительный инженерный вывод
Организация профессиональных услуг по проверке смартфонов и планшетов на наличие шпионского ПО представляет собой комплексную инженерно-криминалистическую задачу, требующую системного подхода, специализированного инструментария и глубоких знаний в области архитектуры мобильных операционных систем. Рассмотренные кейсы — от государственного шпионажа с использованием Dante и Monokle до массовых фишинговых кампаний с применением LunaSpy — демонстрируют, что современное шпионское ПО использует весь спектр технических средств: от социальной инженерии и уязвимостей нулевого дня до внедрения на уровне прошивки.
Инженерная методология, включающая криминалистическую изоляцию, многоуровневый статический и динамический анализ, а при необходимости — аппаратное исследование прошивки, обеспечивает максимальную вероятность обнаружения скрытых угроз и сохранения доказательной базы. Инвестиции в профессиональную диагностику являются не затратами, а стратегическим вложением в информационную безопасность, предотвращающим многократно большие финансовые и репутационные потери. 🔒⚙️🇷🇺






Задавайте любые вопросы