
В условиях стремительной цифровизации всех сфер жизни проблема несанкционированного сбора персональных данных, коммерческой тайны и хищения денежных средств с банковских счетов приобретает системный характер. Программы-шпионы (spyware, stalkerware) — это класс вредоносных приложений, предназначенных для скрытного наблюдения за пользователем, кражи конфиденциальной информации, а также для хищения денежных средств. В отличие от деструктивного вредоносного ПО, шпионские программы нацелены на скрытный сбор данных: кейлоггинг, перехват сетевого трафика, доступ к файловой системе и мультимедийным устройствам. Данная статья представляет собой систематизированное уголовно-правовое руководство по выявлению программ-шпионов на смартфоне и ПК — от правовой квалификации и процессуальных оснований до методик лабораторной диагностики и судебной практики. 🛡️🔍
Наша экспертная организация находится в Москве. Однако для сложных дел, требующих анализа стационарных серверов (в том числе выступающих в качестве C2-панелей для сбора данных со взломанных устройств), мы готовы вылетать в любой регион России. Физический доступ к оборудованию — это краеугольный камень методически верного выявления программ-шпионов на смартфоне и ПК, особенно когда речь идет о серверных стойках, RAID-массивах и промышленных контроллерах. 🚁🖥️
Раздел 1. Правовая природа и нормативное регулирование программ-шпионов ⚖️📚
В российском законодательстве отсутствует прямая статья «шпионское ПО», однако существует ряд смежных составов преступлений, которые напрямую коррелируют с результатами экспертизы. Выявление программ-шпионов на смартфоне и ПК должно опираться на чёткую правовую основу, поскольку без юридической квалификации техническая находка не имеет доказательной силы.
1.1. Определение «специальных технических средств» (ст. 138.1 УК РФ) 🛠️🚫
Федеральными законами от 2 августа 2019 г. № 308-ФЗ и № 314-ФЗ в Уголовный кодекс РФ введено легальное определение специальных технических средств, предназначенных для негласного получения информации. Под ними понимаются приборы, системы, комплексы, устройства и программное обеспечение для электронных вычислительных машин и других электронных устройств для доступа к информации и (или) получения информации с технических средств ее хранения, обработки и (или) передачи, которым намеренно приданы свойства для обеспечения функции скрытого получения информации либо доступа к ней без ведома ее обладателя. 📜
При этом к категории «шпионских» техсредств не относятся находящиеся в свободном обороте приборы бытового назначения, обладающие функциями аудиозаписи, видеозаписи, фотофиксации и (или) геолокации, с открыто расположенными органами управления или элементами индикации, если им преднамеренно не приданы новые свойства, позволяющие с их помощью получать информацию, составляющую личную, семейную, коммерческую или иную охраняемую законом тайну, без ведома ее обладателя. ✅
Статья 138.1 УК РФ устанавливает ответственность за незаконные производство, приобретение и (или) сбыт таких средств. При этом ответственность наступает в тех случаях, когда указанные действия совершаются в нарушение требований законодательства без соответствующей лицензии и не для целей деятельности органов, уполномоченных на осуществление оперативно-розыскной деятельности. 🔒
Согласно разъяснениям Пленума Верховного Суда РФ № 46 от 25.12.2018, технические устройства (смартфоны, диктофоны, видеорегистраторы и т.п.) могут быть признаны специальными техническими средствами только при условии, если им преднамеренно путем технической доработки, программирования или иным способом приданы новые качества и свойства, позволяющие с их помощью негласно получать информацию. В случаях, когда для установления принадлежности технического устройства к числу таких средств требуются специальные знания, суд должен располагать соответствующими заключениями специалиста или эксперта. 📋
Само по себе участие в незаконном обороте специальных технических средств не может свидетельствовать о виновности лица, если его умысел не был направлен на приобретение именно таких средств (например, лицо приобрело устройство, рекламируемое как бытовое, добросовестно заблуждаясь относительно его фактического предназначения). Не могут быть квалифицированы по статье 138.1 УК РФ действия лица, которое приобрело предназначенное для негласного получения информации устройство с намерением использовать, например, в целях обеспечения личной безопасности, безопасности членов семьи, в том числе детей, сохранности имущества или в целях слежения за животными и не предполагало применять его в качестве средства посягательства на конституционные права граждан. Это — законное основание для защиты, но не для атаки. ⚠️
1.2. Иные статьи УК РФ, применяемые при выявлении программ-шпионов 📜⚖️
- Статья 272 УК РФ— «Неправомерный доступ к компьютерной информации». Применяется в случаях, когда программа-шпион копирует, модифицирует или удаляет данные без согласия владельца устройства. Квалифицирующим признаком является причинение крупного ущерба (свыше 1 млн руб.) или совершение деяния из корыстной заинтересованности. Санкция — до 7 лет лишения свободы. 💻
- Статья 273 УК РФ— «Создание, использование и распространение вредоносных программ». Охватывает случаи, когда шпионское ПО обладает способностью к самораспространению или модифицирует системные файлы. Санкция — до 7 лет лишения свободы. 🦠
- Статья 138 УК РФ— «Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений». Актуальна для кейлоггеров и RAT-троянов, перехватывающих сообщения граждан, передаваемые по сетям электрической связи. 📨
- Статья 183 УК РФ— «Незаконные получение и разглашение сведений, составляющих коммерческую, налоговую или банковскую тайну». Применяется в делах о корпоративном шпионаже. Санкция — до 10 лет лишения свободы. 🏢
- Статья 159.6 УК РФ— «Мошенничество в сфере компьютерной информации». Хищение денежных средств с использованием программ-шпионов квалифицируется по данной статье. 💰
Раздел 2. Классификация программ-шпионов для судебных целей 🗂️🔍
Выявление программ-шпионов на смартфоне и ПК в рамках судебной экспертизы требует классификации обнаруженного ПО по функциональным признакам для правильной уголовно-правовой квалификации.
2.1. Для ПК (Windows, macOS, Linux) 🖥️
- Кейлоггеры (клавиатурные шпионы): Записывают нажатия клавиш, фиксируя пароли, переписки, вводимые тексты. Принцип: перехват нажатий клавиш, буфера обмена, скриншотов экрана. Технические признаки: использование хуков SetWindowsHookExW (Windows), CGEventTapCreate (macOS). Наличие скрытых файлов логов. Квалифицируются по ст. 138 УК РФ (нарушение тайны переписки) и ст. 272 УК РФ (неправомерный доступ). ⌨️
- Трояны удаленного доступа (RAT — Remote Access Trojan): Обеспечивают полный контроль над системой: активацию камеры и микрофона, геолокацию в реальном времени, извлечение файлов, перехват сообщений из шифрованных мессенджеров. Технические признаки: исходящие beaconing-соединения на нестандартные порты (4444, 5555, 8080). Использование легитимных облачных API для эксфильтрации. Квалифицируются по ст. 272 и 273 УК РФ. ⚙️
- Руткиты и буткиты (уровень ядра и загрузчика): Внедряются в ядро ОС или MBR/UEFI для сокрытия своего присутствия. Технические признаки: несоответствие списков процессов в RAM (pslist vs psscan в Volatility). Модификация системных вызовов (SSDT hooks). Квалифицируются по ст. 273 УК РФ. 🧬
- Стилеры паролей и данных: Автоматизированный сбор паролей из браузеров, cookies, криптокошельков. Технические признаки: обращение к локальным базам браузеров (Login Data, Cookies), отправка на C2 через HTTP/HTTPS. Квалифицируются по ст. 272 и 183 УК РФ. 🔑
2.2. Для смартфонов (iOS, Android) 📱
- Шпионское ПО Pegasus-класса (zero-click, без jailbreak): Использует эксплойты цепочки атак (iMessage, WhatsApp, FaceTime). Не требует действий пользователя. Технические признаки: аномальная активность процессора, скрытые процессы, специфические IoC в резервной копии (выявляются MVT). Квалифицируется по ст. 138.1 УК РФ. 📡
- Шпионские MDM-профили (iOS) и Device Admin (Android): Пользователь устанавливает «корпоративный профиль» или даёт права администратора под видом полезного приложения. Технические признаки: наличие неизвестного MDM-профиля (iOS) или приложения с правами Device Admin (Android). Квалифицируются по ст. 138.1 УК РФ, если установлены без согласия наблюдаемого лица. 🏢
- Сталкерское ПО (Stalkerware): Коммерческие пакеты (mSpy, FlexiSPY), изначально разработанные для родительского контроля, но используемые для скрытого слежения. Часто маскируются под системные процессы и имеют легитимные цифровые подписи. Квалифицируются по ст. 138.1 УК РФ. 👁️
- Шпионские приложения через TestFlight / Enterprise-сертификаты (iOS) и APK из сторонних источников (Android): Распространение вне официальных магазинов. Технические признаки: приложение отсутствует в App Store / Google Play; запрашивает избыточные разрешения (микрофон, камера, геолокация, контакты). Квалифицируются по ст. 272 УК РФ (неправомерный доступ). 📲
Раздел 3. Процессуальный порядок назначения и производства экспертизы ⚖️📋
Суд может назначить экспертизу по выявлению программ-шпионов на смартфоне и ПК в рамках уголовного дела (ст. 195 УПК РФ), гражданского или арбитражного дела (ст. 79 АПК РФ, ст. 79 ГПК РФ).
Алгоритм действий для следователя, дознавателя или суда:
- Вынесение постановления о назначении судебной компьютерно-технической экспертизы(ст. 195 УПК РФ). В постановлении должны быть указаны: основания для назначения экспертизы; перечень объектов, предоставляемых в распоряжение эксперта; вопросы, подлежащие разрешению (например: «Имеются ли на представленном для исследования мобильном телефоне программы, предназначенные для негласного сбора информации?»); наименование экспертного учреждения или фамилия эксперта. 📜
- Ознакомление участников процесса с постановлением(ст. 198 УПК РФ). Участники имеют право заявлять отводы, ходатайствовать о постановке дополнительных вопросов. 👥
- Производство экспертизы в лабораторных условиях или на месте (выездная экспертиза).Эксперт предупреждается об ответственности по ст. 307 УК РФ. 🔬
- Составление заключения(ст. 204 УПК РФ) — документ, состоящий из вводной, исследовательской части и выводов. 📄
- Допрос эксперта(при необходимости) для разъяснения заключения. 🎤
Критически важный этап — изъятие устройств. Ошибки на этом этапе ведут к признанию доказательств недопустимыми (ст. 75 УПК РФ).
Изъятие ПК (стационарного или ноутбука): 💻
• Не выключать компьютер! Выключение уничтожает оперативную память, где могут храниться следы fileless-вредоносов и ключи дешифрования. ⚠️
• Отключить сетевые кабели (Ethernet, оптоволокно), но оставить питание. 🌐
• Пригласить специалиста (эксперта) для создания криминалистических копий. 👨🔬
• Создать образ оперативной памяти (RAM) с помощью DumpIt (Windows) или LiME (Linux). 🧠
• Создать образ диска через write-blocker (аппаратный — Tableau, или программный — dc3dd). 💾
• Зафиксировать хэши SHA-256 всех образов. 🔐
Изъятие смартфона (iOS / Android): 📱
• Не выключать устройство! Выключение может активировать защиту данных (BFU -> AFU) и уничтожить следы. ⚠️
• Не обновлять операционную систему! Обновление может закрыть уязвимости, использованные шпионом. 🚫
• Не сбрасывать настройки! Это уничтожит улики. 🗑️
• Включить авиарежим (отключить Wi-Fi и сотовую сеть), чтобы предотвратить удалённую команду на самоуничтожение. ✈️
• Поместить устройство в клетку Фарадея (Faraday bag) для блокировки радиосигналов. 📡
• Создать зашифрованную резервную копию через iTunes/Finder (для iOS) или через adb backup (для Android). 💾
Судебная практика: Определение Верховного Суда РФ № 45-КГ23-12 (2024) — выключение компьютера перед изъятием привело к признанию экспертного заключения недопустимым доказательством. ⚖️⚠️
Раздел 4. Методология профессионального выявления шпионских программ 📐🔬
Процесс выявления программ-шпионов на смартфоне и ПК строится по принципу «от простого к сложному» и обязательно документируется на каждом шагу.
Этап 1. Сбор и закрепление цифровых доказательств (Data Acquisition) 🛡️
Любое выявление шпионских программ начинается не с запуска сканера, а с процессуальной и технической фиксации состояния системы. Золотое правило: никогда не работать с оригинальным носителем. ⚠️
Что делаем:
• Отключение сетевых интерфейсов — выдернуть патч-корд, включить режим «в самолете», чтобы предотвратить дистанционную команду на удаление данных или активацию функции самоочистки (remote wipe). 🌐
• Дамп оперативной памяти (RAM) — с помощью WinPMEM (Windows) или LiME (Linux) для последующего анализа в Volatility Framework. 🧠
• Фотофиксация экрана — с открытыми процессами, сетевыми подключениями. 📸
• Создание образа диска — с использованием аппаратных блокираторов записи (write-blocker) и создание посекторной копии (dd, FTK Imager) с контролем хешей MD5/SHA-256. 💾
• Для мобильных устройств — использование криминалистических комплексов Cellebrite UFED, Magnet AXIOM, Oxygen Forensic для создания физических дампов. 📱
Этап 2. Статический анализ артефактов 🔎
Анализ данных на носителях без их выполнения. Ключевые направления:
• Анализ автозагрузки — исследование всех точек персистентности: ключи реестра (Run, RunOnce, службы), папки автозагрузки, планировщик задач (Scheduled Task), DLL-инжекция через AppInit_DLLs. ⚙️
• Анализ файловой системы — поиск скрытых файлов и каталогов, альтернативных потоков NTFS (ADS), теневых копий (VSS). Проверка цифровых подписей исполняемых файлов на предмет подделки. 📁
• Анализ реестра Windows — исследование ключей автозагрузки и persistence-механизмов. 🗂️
• Для мобильных устройств — анализ APK/IPA файлов (декомпиляция через jadx), анализ разрешений приложений (доступ к микрофону, камере, геолокации, контактам). 📱
Этап 3. Динамический анализ в изолированной среде (песочнице) 🏜️
Если статический анализ не дал результатов, переходим к запуску подозрительных файлов в песочнице. Выявление программ-шпионов на смартфоне и ПК динамическим методом позволяет увидеть поведение, которое не видно в статике.
Инструменты: Cuckoo Sandbox, ANY.RUN, CAPE.
Индикаторы заражения в динамике: 🚨
• Попытки доступа к файлам SAM, SECURITY, SYSTEM.
• Вызов SetWindowsHookEx (клавиатурный шпион). ⌨️
• Отправка данных на неизвестные IP (особенно в нестандартные порты: 5555, 6666, 31337). 🌐
• Использование AccessibilityService (Android) для чтения уведомлений. 📱
• Запись аудио или видео без индикации. 🎥
Этап 4. Ручной реверс-инжиниринг 🧬
Когда автоматические методы бессильны, применяется reverse engineering. Инструментарий: Ghidra, IDA Pro, x64dbg. 💻
Раздел 5. Кейсы из судебно-экспертной практики 🏛️⚖️
Кейс №1: Семейная слежка на устройстве Android 👨👩👧📱
В лабораторию обратилась гражданка с жалобами на аномальное поведение смартфона: быстрый разряд батареи (с 30 до 5 часов работы), щелчки и эхо во время звонков, неизвестный сетевой трафик около 250 МБ в сутки. Заявительница подозревала супруга в установке шпионского ПО.
Выявление программ-шпионов на смартфоне и ПК выявило приложение с названием, визуально неотличимым от системной службы обновлений (отличие в одной букве). Цифровая подпись приложения не соответствовала сертификату разработчика ОС. Приложение запрашивало доступ к микрофону, камере, геолокации, контактам и текстовым сообщениям. В системных логах обнаружены регулярные соединения с удаленным сервером. Временные метки установки совпали с днем, когда супруг оставался дома один с устройством заявительницы.
Результат: Вредоносный пакет удален. Составлено заключение для суда. Супруг признал факт установки шпионского ПО. ✅
Кейс №2: Финансовый троян после фишинга 💰📱
Гражданин перешел по фишинговой ссылке от имени банка, ввел логин, пароль и код подтверждения. Через два часа с его счета списано 950 000 рублей.
Выявление программ-шпионов на смартфоне и ПК восстановило цепочку: в системном разделе обнаружено приложение без иконки, установленное в день перехода. Приложение запрашивало доступ к текстовым сообщениям и возможность отображать окна поверх других приложений. Дизассемблирование выявило функции перехвата одноразовых паролей из SMS. Вредонос отправлял украденные данные на сервер, зарегистрированный через подставное лицо.
Результат: Заключение передано в правоохранительные органы и использовано в банке для запуска процедуры страхового возмещения. 💰
Кейс №3: Корпоративный шпионаж (выезд в Московскую область) 🏭
Крупный производитель промышленного оборудования обнаружил, что чертежи новой линейки станков оказались у конкурента. Внутренняя ИБ-служба провела поверхностную проверку, но ничего не нашла.
Ход работ: Выездная группа создала образы дисков всех критичных машин с использованием write-blocker. Выполнен анализ оперативной памяти трёх серверов. Проведена глубокая сверка хешей системных файлов с эталонными образами. На одном из серверов обнаружен руткит уровня ядра, маскирующийся под драйвер файловой системы. Вредонос перехватывал обращения к файлам с расширениями.dwg,.sldprt,.stp и перед отправкой пользователю отправлял копии на внешний сервер. Имплант работал 7 месяцев.
Результат: Предотвращены убытки в размере 90 млн рублей. Экспертное заключение легло в основу судебного решения. ✅
Кейс №4: Процессуальная ошибка при изъятии ⚖️⚠️
Определение Верховного Суда РФ № 45-КГ23-12 (2024) — выключение компьютера перед изъятием привело к признанию экспертного заключения недопустимым доказательством. 📉
Раздел 6. Процессуальное оформление результатов выявления 📄⚖️
Любая техническая находка имеет юридическую силу только при соблюдении процессуальных норм. Выявление программ-шпионов на смартфоне и ПК, проведенное с нарушением процессуальных норм, не имеет юридической силы.
Экспертиза оформляется в виде Заключения эксперта (для суда, арбитража, следственных органов) в строгом соответствии со ст. 204 УПК РФ, ст. 86 ГПК РФ или ст. 55 АПК РФ. Включает:
- Вводную часть— основания для экспертизы, предупреждение об ответственности за дачу ложного заключения по ст. 307 УК РФ. 📜
• Исследовательскую часть — пошаговое описание действий эксперта, включая использованное ПО и оборудование. 🔬
• Выводы — наличие или отсутствие шпионского ПО, его функционал, доказательная база. 📋
• Приложения — CD/DVD с логами, скриншотами, дампами, копиями вредоносных файлов. 💾
Критически важно: Нарушение цепочки хранения доказательств (chain of custody) делает заключение недопустимым доказательством (ст. 75 УПК РФ). Поэтому все носители упаковываются в антистатические пакеты, опечатываются, подписываются понятыми или видеосъёмкой фиксируется каждый этап. Каждый образ снабжается хеш-суммой. 🔐
Раздел 7. Процессуальные риски и ошибки при самостоятельном выявлении шпионского ПО ⚠️🚫
Самостоятельные попытки обнаружения и удаления шпионского ПО без привлечения сертифицированных экспертов часто приводят к катастрофическим последствиям:
- Уничтожение цифровых доказательств🗑️ — удаление файлов, сброс настроек или переустановка ОС уничтожают следы, необходимые для возбуждения уголовного дела (ст. 183, 272, 273 УК РФ) и взыскания ущерба.
- Активация механизмов самоуничтожения💀 — многие продвинутые шпионские модули (особенно RAT-клиенты) оснащены «логическими бомбами», которые при обнаружении попытки вмешательства запускают процедуру полного уничтожения данных или шифрования диска.
- Нарушение процессуальных норм📜 — согласно ст. 75 УПК РФ, доказательства, полученные с нарушением закона, признаются недопустимыми. Непрофессиональное вмешательство лишает вас возможности использовать результаты в суде.
- Ложное чувство безопасности😌 — удаление «верхушки» айсберга без глубокого анализа памяти и реестра оставляет активными скрытые закладки, которые продолжают работать.
Рекомендация: при первых признаках компрометации — немедленно прекратить любые действия на устройстве, отключить его от сети и обратиться к профессионалам. Только сертифицированный судебный эксперт, предупреждённый об ответственности по ст. 307 УК РФ, может провести выявление программ-шпионов на смартфоне и ПК с соблюдением всех процессуальных норм и гарантией юридической силы заключения. 🛡️🔐
Раздел 8. Приглашение к сотрудничеству 🛡️🔐
Выявление программ-шпионов на смартфоне и ПК — это высокоточная услуга, требующая не только технических знаний, но и понимания процессуальных норм и судебной практики. Наша экспертная организация находится в Москве. Однако для сложных дел, требующих анализа стационарных серверов (в том числе выступающих в качестве C2-панелей для сбора данных со взломанных устройств), мы готовы вылетать в любой регион России — от Калининграда до Камчатки. Физический доступ к оборудованию — это краеугольный камень методически верного выявления программ-шпионов на смартфоне и ПК, особенно когда речь идет о серверных стойках, RAID-массивах и промышленных контроллерах. 🚁🖥️
Подробнее ознакомиться с информацией о наших услугах в этой сфере вы можете на специализированной странице нашего сайта: https: //sud-expertiza.ru/poisk-shpionskih-programm/ 💻
Обратившись к нам, вы сможете получить объективное судебно-экспертное заключение, которое будет принято судом в качестве допустимого доказательства, а также эффективно защитить свои интересы в арбитражных, гражданских и уголовных процессах. Получите квалифицированную помощь сегодня. 🛡️🔐






Задавайте любые вопросы