
Введение: проблема нелегитимного мониторинга в контексте цифровой безопасности
В эпоху интеграции информационно-коммуникационных технологий во все сферы жизнедеятельности риски, связанные с нарушением информационной безопасности, приобретают системный характер. Особую категорию угроз представляют собой программы несанкционированного мониторинга (stalkerware, spyware), незаконно устанавливаемые на мобильные устройства и персональные компьютеры пользователей. Согласно данным исследовательской группы «Лаборатории Касперского», в 2023 году более 42 000 пользователей столкнулись с подобными угрозами, что отражает масштабность проблемы, выходящей за рамки частных случаев и затрагивающей корпоративную и публичную сферы.
Профессиональное выявление программ слежения представляет собой не просто антивирусную проверку, а комплексную научно-методологическую процедуру, основанную на принципах цифровой криминалистики и анализа угроз.
В контексте обеспечения цифрового суверенитета личности и организации особую актуальность приобретает методологически обоснованная экспертиза, направленная на детекцию и анализ вредоносного программного обеспечения на платформах Android, iOS, Windows и Linux. Современное выявление программ слежения базируется на последовательном применении многоуровневого анализа, включающего статическое исследование артефактов, динамическое поведенческое профилирование в изолированных средах, анализ оперативной памяти и, в сложных случаях, реверс-инжиниринг исполняемых модулей.
Настоящая статья посвящена методологическим основам и практическим аспектам профессиональной киберкриминалистической экспертизы, направленной на выявление программ слежения. Материал адресован специалистам в области информационной безопасности, судебным экспертам, следователям и корпоративным юристам, сталкивающимся с необходимостью документирования фактов несанкционированного доступа к конфиденциальной информации.
Глава 1. Таксономия угроз: классификация современных средств цифрового мониторинга
С методологической точки зрения, программные средства нелегитимного мониторинга могут быть классифицированы по нескольким критериям: способу распространения, уровню привилегий, функциональному набору и стойкости к обнаружению. Понимание таксономии угроз является первым шагом к эффективному выявлению программ слежения на любом устройстве.
1.1. Классификация по методу инсталляции и персистенции
- Эксплойты, использующие социальную инженерию: Наиболее распространенный вектор проникновения. Вредоносное ПО маскируется под легитимные приложения (обновления программного обеспечения, системы безопасности, утилиты) и устанавливается самим пользователем в результате фишинговой атаки. Как отмечают эксперты, россияне часто устанавливают приложения из сторонних недостоверных источников, а не из официальных магазинов цифрового контента, что является основной причиной заражения.
- Физический доступ к устройству: Прямая установка злоумышленником, часто с предварительным получением прав суперпользователя (root) на Android или использованием уязвимостей для джейлбрейка на iOS. Характерный признак этого вектора — необходимость временного получения устройства жертвы.
- Атаки с нулевым кликом (zero-click): Наиболее опасный класс угроз, при котором заражение происходит без какого-либо взаимодействия со стороны пользователя. Согласно данным Citizen Lab, шпионское ПО Graphite использовалось в атаках на сотрудников медиа в Европе через уязвимость в iOS — специально подготовленные изображения или видеозаписи, переданные через iMessage, заражали устройство без ведома владельца.
Комплексное выявление программ слежения требует применения всех уровней анализа — от поведенческого до низкоуровневого исследования памяти — для гарантированного обнаружения даже самых сложных угроз, использующих продвинутые техники маскировки.
1.2. Классификация по функциональным возможностям
- Кейлоггеры (Keyloggers): Модули, перехватывающие ввод с клавиатуры, включая логины, пароли, сообщения и поисковые запросы. Современные реализации используют accessibility-сервисы (Android) или недокументированные API (iOS).
- Трояны удаленного доступа (RAT): Наиболее опасный класс, обеспечивающий полный контроль над системой: активация камеры и микрофона, геолокация в реальном времени, извлечение файлов из облачных хранилищ, перехват сообщений из шифрованных мессенджеров.
- Сталкерское ПО (Stalkerware): Коммерческие пакеты (mSpy, FlexiSPY), изначально разработанные для родительского контроля, но используемые для скрытой слежки. Часто имеют собственные механизмы сокрытия (скрытый значок, маскировка под системные процессы).
- Модульные шпионские платформы: Особую опасность представляют атаки, использующие уязвимости в мессенджерах для заражения без взаимодействия жертвы. Согласно исследованию «Лаборатории Касперского», в кибератаках против российских организаций впервые было задействовано шпионское ПО Dante от компании Memento Labs (ранее HackingTeam). Атака использовала уязвимость нулевого дня в браузере Chrome, что указывает на высокий уровень подготовки организаторов.
Глава 2. Методология экспертного анализа: многоуровневая модель исследования
Профессиональное выявление программ слежения основано на методологии цифровой криминалистики (digital forensics) и предполагает последовательное прохождение нескольких фаз. Представленная ниже модель отражает лучшие практики, применяемые в судебно-экспертной деятельности.
2.1. Фаза 1: Предварительный анализ и изоляция (Identification & Preservation)
Первостепенной задачей является сохранение целостности цифровых доказательств. Устройство помещается в экранирующую камеру Фарадея для блокировки всех радиоканалов (GSM/4G/5G, Wi-Fi, Bluetooth, NFC). Это предотвращает дистанционную команду на удаление данных или активацию функции самоочистки (remote wipe).
Осуществляется документальная фиксация физического состояния устройства и создание физического дампа (bit-for-bit copy) памяти с использованием аппаратно-программных комплексов (Cellebrite UFED, Magnet AXIOM). Данный подход позволяет получить доступ ко всем секторам памяти, включая удаленные файлы и системные разделы, недоступные в штатном режиме работы операционной системы.
Выявление программ слежения начинается не с запуска сканера, а с процессуальной и технической фиксации состояния системы — каждый образ снабжается хеш-суммой, и изменение хотя бы одного бита сделает его недопустимым доказательством в судебном разбирательстве.
2.2. Фаза 2: Детальное исследование (Examination & Analysis)
Работа ведется с полученным образом памяти, что исключает изменение оригинальных данных. Данный этап включает несколько уровней анализа.
Статический анализ:
- Восстановление файловой структуры: построение полного дерева файлов, включая данные предустановленных и пользовательских приложений (/data/data/ на Android)
- Сравнение хэш-сумм: выявление несоответствий в системных библиотеках и исполняемых файлах, которые могут указывать на внедрение руткита
- Анализ метаданных и артефактов: исследование журналов системных событий (logcat), истории сетевых подключений, записей календаря, базы данных SMS/MMS
- Поиск индикаторов компрометации (IoC): выявление известных сигнатур, доменных имен командных серверов (C&C), характерных строк в коде или имен файлов
Анализ оперативной памяти (RAM Forensics):
Современные шпионские программы часто работают бесфайлово — они никогда не записываются на диск. Инструментарий Volatility Framework позволяет выявить скрытые процессы, внедренные DLL-библиотеки и активные сетевые соединения на нестандартные порты.
Поведенческий анализ в изолированной среде (песочнице):
Воссоздание критических участков файловой системы и регистровых ключей для запуска подозрительных процессов с мониторингом системных вызовов, создания новых процессов, попыток доступа к чувствительным данным и установки сетевых соединений.
Анализ сетевой активности:
Выявление аномальных DNS-запросов или соединений с IP-адресами, ассоциированными с киберпреступной инфраструктурой. Как отмечают эксперты, шпионское ПО часто использует нестандартные порты (1443, 8080, 5555, 31337).
Кейс: Выявление кейлоггера в корпоративной среде
В одном из инцидентов на оборонном предприятии выявление программ слежения показало, что в памяти процесса svchost.exe был инжектирован DLL-модуль с функцией SetWindowsHookEx — классический клавиатурный шпион. Особенностью являлось то, что модуль сам себя расшифровывал только при наличии файла-триггера на USB-флешке, что указывало на целенаправленный характер атаки.
2.3. Фаза 3: Синтез и документирование (Presentation)
Все выявленные артефакты (файлы, записи в журналах, сетевые метаданные) связываются в логическую цепочку, доказывающую факт установки и функционирования шпионского ПО. Результаты оформляются в виде детального экспертного заключения, которое может иметь юридическую силу.
Глава 3. Выявление программ слежения на мобильных устройствах: специфические методы
Выявление программ слежения на мобильных устройствах представляет особую техническую задачу в силу специфики архитектур, изолированной файловой системы и ограниченных возможностей для глубинного анализа.
3.1. Android-платформа
На Android идентифицируются следующие категории:
- Приложения с разрешениями BIND_ACCESSIBILITY_SERVICE — ридер экрана, способный перехватывать все действия пользователя
- Скрытые DeviceAdmin без иконки
- Модифицированные системные файлы (framework-res.apk)
- Приложения, установленные из сторонних источников (не Google Play)
- Подозрительный трафик через tcpdump на рутированном устройстве
3.2. iOS-платформа
На iOS выявление программ слежения существенно сложнее. Основные методы включают:
- Анализ резервных копий (iTunes) с использованием MVT (Mobile Verification Toolkit) — инструмента с открытым исходным кодом от Amnesty International
- Проверка установленных MDM-профилей, часто используемых для маскировки шпионского ПО
- Индикаторы Pegasus и Graphite: аномалии в системных журналах (sysdiagnose)
Кейс: Атака Graphite на iOS-устройства
В начале 2025 года исследователи Citizen Lab зафиксировали применение шпионской платформы Graphite в атаках на сотрудников медиа в Европе. Вредоносный код передавался через iMessage без необходимости каких-либо действий со стороны получателя (zero-click). Атака использовала уязвимость CVE-2025-43200 в iOS, которая проявлялась при обработке специально подготовленных изображений или видеозаписей.
Специализированное выявление программ слежения на мобильных устройствах требует применения отдельных методик и инструментов, отличных от используемых для стационарных ПК, что обусловлено архитектурными особенностями платформ.
Глава 4. Актуальные угрозы: коммерческое шпионское ПО и атаки нулевого дня
Современный ландшафт угроз характеризуется появлением коммерческого шпионского ПО, разрабатываемого специализированными компаниями и продаваемого государственным заказчикам. Выявление программ слежения данного класса представляет особую сложность в силу использования продвинутых техник маскировки и эксплуатации неизвестных уязвимостей.
В октябре 2025 года эксперты команды Kaspersky GReAT заявили о первом подтверждённом случае использования шпионского ПО Dante, созданного итальянской компанией Memento Labs (ранее известной как HackingTeam), в реальных кибератаках. Атака, получившая название «Форумный тролль», была направлена против сотрудников СМИ, государственных учреждений, научных и финансовых организаций на территории России.
Центральным элементом операции стал зловред LeetAgent, в коде которого использовалась специфическая система команд на языке Leet. Достаточно было открыть ссылку в браузере Chrome, чтобы устройство заражалось без каких-либо дополнительных действий со стороны пользователя — атака использовала уязвимость нулевого дня.
Анализ показал, что в Dante и некоторых инструментах, используемых в операции «Форумный тролль», присутствует похожий код, что указывает на общее происхождение — разработку Memento Labs. По словам ведущего эксперта Kaspersky GReAT Бориса Ларина, чтобы установить происхождение Dante, потребовалось разобраться в нескольких слоях запутанного кода.
Глава 5. Дифференциация подходов: профессиональная экспертиза versus потребительские решения
Сравнительный анализ возможностей потребительских антивирусных решений и профессиональной киберкриминалистической экспертизы демонстрирует принципиальные различия, определяющие эффективность выявления программ слежения.
| Критерий | Профессиональная экспертиза | Потребительские антивирусы |
| Глубина доступа к данным | Физический дамп всей памяти, включая системные разделы и удаленные файлы | Ограниченный доступ в рамках sandbox приложения |
| Методы детектирования | Сигнатурный, эвристический, поведенческий анализ, исследование артефактов ОС | Преимущественно сигнатурный анализ |
| Обнаружение stalkerware | Высокая эффективность за счет анализа прав доступа и сравнения хэшей | Крайне низкая, так как stalkerware использует легитимные сертификаты |
| Доказательная ценность | Формирование юридически значимого заключения | Отсутствует |
Как отмечают специалисты, стандартные антивирусы не справляются с выявлением программ слежения по нескольким причинам: шпионское ПО часто пишется под конкретную жертву (custom malware), использует шифрованный канал (TLS с самоподписным сертификатом), работает только в определенное время, активируется при подключении определенного USB-устройства и самоуничтожается при запуске диагностических утилит.
Глава 6. Алгоритм действий при подозрении на слежку
При подозрении на наличие программ слежения необходимо соблюдать определенный порядок действий, обеспечивающий сохранность цифровых улик:
- Не выключайте устройство. Выключение уничтожает оперативную память, содержащую следы бесфайловых вредоносов.
- Отключите сетевые интерфейсы. Физически отсоедините Ethernet-кабель или включите режим «в самолете» для предотвращения дистанционной команды на удаление данных.
- Не запускайте антивирус. Антивирус может удалить активные трояны и их логи, которые впоследствии могут потребоваться для судебного разбирательства.
- Зафиксируйте все на фото/видео. Документируйте состояние экранов, системное время и другие визуальные индикаторы.
- Обратитесь к специалистам. Самостоятельные попытки диагностики с помощью мобильных антивирусов неэффективны против современных угроз, использующих методы обфускации кода и эксплуатацию неизвестных уязвимостей.
Юридически оформленное выявление программ слежения является единственным способом получить заключение, которое будет принято судом в качестве допустимого доказательства.
Глава 7. Правовое регулирование и судебная значимость
Выявление программ слежения, результаты которого предполагается использовать в суде, должно проводиться с соблюдением строгих процессуальных норм, установленных Федеральным законом № 73-ФЗ «О государственной судебно-экспертной деятельности» и статьями УПК РФ. Ключевые законодательные акты Российской Федерации, регламентирующие ответственность за создание, распространение и использование шпионского ПО:
- Ст. 138.1 УК РФ (незаконный оборот специальных технических средств) — до 4 лет лишения свободы
- Ст. 272 УК РФ (неправомерный доступ к компьютерной информации) — до 7 лет лишения свободы
- Ст. 183 УК РФ (разглашение коммерческой, налоговой или банковской тайны) — до 10 лет лишения свободы
Суды отклоняют до 40 % компьютерных экспертиз из-за процессуальных нарушений. Чтобы этого избежать, выявление программ слежения должно сопровождаться видеозаписью экрана и подписями понятых (если иное не разрешено следователем).
Глава 8. Заключение: системный подход к обеспечению цифровой безопасности
Выявление программ слежения представляет собой не разовую процедуру, а системный процесс, требующий применения всего арсенала методов: от статического сигнатурного анализа до аппаратного исследования прошивок и реверс-инжиниринга. Только многоуровневый подход, сочетающий выездные исследования, лабораторный анализ и процессуальное оформление, гарантирует выявление современных угроз, использующих продвинутые техники маскировки и обхода стандартных средств защиты.
Распространение sophisticated-угроз в виде кастомизированных программ слежения требует адекватного профессионального ответа. Обращение к специалистам позволяет не только обнаружить вредоносное ПО, но и провести полный инцидент-анализ, оценить ущерб и получить рекомендации по восстановлению безопасности.
Наша экспертная лаборатория базируется в Москве. Однако для сложных дел, требующих анализа стационарных серверов и оборудования в изолированных контурах, мы готовы вылетать в любой регион России — от Калининграда до Владивостока. Физический доступ к оборудованию является краеугольным камнем методически корректного выявления программ слежения, поскольку удаленный анализ не позволяет гарантировать сохранность цифровых улик и проведение низкоуровневых аппаратных исследований.
Ознакомиться с полным перечнем услуг и заказать исследование вы можете на нашем сайте: https://sud-expertiza.ru 🌐📋.






Задавайте любые вопросы