Доброго дня, уважаемые коллеги — руководители служб безопасности, системные администраторы, корпоративные юристы, следователи и все, кто столкнулся с подозрением на скрытое наблюдение, утечку данных или необъяснимое исчезновение средств с банковских счетов! 👋💻📱
Сегодня мы с вами погружаемся в тему, которая лежит на стыке системного программирования, сетевой безопасности и цифровой криминалистики — поиск шпионского ПО. Это не про кнопку «Сканировать». Это про инжекты в ядро, про обход EDR, про анализ дампов памяти, про реверс-инжиниринг APK и про охоту за C2-серверами, которые прячутся за CDN и DoH. Код, который не должен быть в системе, но он там есть. И мы покажем, как его найти. 🧠🔬
Сразу обозначим нашу позицию: мы — команда судебных IT-экспертов, базирующаяся в Москве. Однако для сложных дел, для анализа стационарных серверов, серверов синхронизации и корпоративной IT-инфраструктуры мы готовы вылетать в любой регион России — от Калининграда до Камчатки. Физический доступ к оборудованию — это краеугольный камень методически верного поиска шпионского ПО, особенно когда речь идет о серверных стойках, RAID-массивах и промышленных контроллерах. 🚁🖥️
Поиск шпионского ПО в корпоративной среде требует комплексного подхода, а поиск шпионского ПО на мобильных устройствах — особых инструментов и навыков. Мы покажем, что поиск шпионского ПО — это не разовая акция, а системный процесс, и что поиск шпионского ПО позволяет не только выявить угрозу, но и собрать доказательства для суда. Наша лаборатория в Москве, но для анализа стационарных серверов мы готовы вылетать в любой регион России. 🛰️🚀
Раздел 1. Методологические основы: таксономия и архитектура шпионского ПО
Шпионское ПО (spyware, stalkerware, tracking software) — это класс программ, предназначенных для скрытого сбора, агрегации и передачи информации с зараженного устройства. В отличие от обычных вирусов, шпионское ПО не разрушает систему, а маскируется под легитимные процессы, чтобы оставаться незамеченным как можно дольше.
Ключевая особенность этого вредоносного ПО — его способность маскироваться и оставаться незамеченным. Оно может не иметь значка в списке приложений, работать под правами администратора устройства или встраиваться в состав легального программного обеспечения.
Классификация по целевому назначению и функционалу:
- Кейлоггеры (Keyloggers) — записывают нажатия клавиш. Подразделяются на аппаратные (внедряются на уровне контроллера клавиатуры) и программные (внедряются в виде драйверов, хуков в оконную подсистему или модифицируют библиотеки ввода).
- Трояны удаленного доступа (RAT) — обеспечивают полный контроль над системой. Часто используют легитимные протоколы (RDP, VNC) для маскировки.
- Информационные сборщики (Data Stealers) — специализируются на поиске и извлечении конкретных данных: файлов по расширению, кэшей браузеров, данных из клиентов мессенджеров.
- Сетевые снифферы (Sniffers) — перехватывают сетевые пакеты на зараженном хосте.
- Скриншотеры (Screen Capture) — регулярно или по событию делают снимки экрана.
Классификация по стелс-технологиям и устойчивости:
- User-Mode Rootkits — маскируют процессы, файлы, ключи реестра на уровне приложений.
- Kernel-Mode Rootkits — внедряются в ядро ОС, перехватывая системные вызовы. Обнаружение требует анализа целостности ядра.
- Буткиты (Bootkits) — заражают загрузочные секторы (MBR, UEFI) и активируются до загрузки ОС. Являются наиболее сложными для обнаружения стандартными средствами.
- Объекты, не связанные с файлами (Fileless Malware) — исполняются в памяти, используя легитимные процессы и скриптовые движки (PowerShell, WMI).
Программы государственного уровня (Pegasus, Graphite) используют уязвимости нулевого дня в iOS, включая атаки с нулевым кликом (zero-click), которые используют уязвимости в приложениях iMessage, WhatsApp или FaceTime для тихого заражения устройства без необходимости взаимодействия жертвы. Возможности включают кейлоггинг, доступ к микрофону и камере, GPS-трекинг и захват снимков экрана. Шпионское ПО очень трудно обнаружить на iPhone, и оно может самоуничтожиться, чтобы стереть улики, если не свяжется с сервером в течение установленного периода времени.
Особую опасность представляют программы, нацеленные на хищение денежных средств. Как сообщила председатель Банка России Эльвира Набиуллина, мошенники стали использовать вредоносную программу типа SpyNote, с помощью которой они могут получить доступ к телефону человека и опустошить счета. По данным ЦБ, 40–50% хищений денег со счетов совершается при помощи этой программы. 💰⚠️
Именно поэтому поиск шпионского ПО — это не антивирусная проверка, а полноценный криминалистический процесс. Никакой один инструмент не даст 100% гарантии. 🎯
Раздел 2. Методология экспертного анализа: многоуровневый подход
Методология поиска шпионского ПО базируется на принципе последовательного перехода от анализа внешних проявлений (аномалий) к исследованию низкоуровневых артефактов. Поиск шпионского ПО должен быть многоуровневым: от статического анализа до поведенческого в песочнице и ручного реверс-инжиниринга.
Уровень 1: Поведенческий и сетевой анализ 🌐
Цель — выявление аномалий, указывающих на возможное присутствие шпионского ПО. Методы включают:
- Мониторинг сетевой активности: анализ исходящих соединений с помощью netstat, Wireshark. Поиск beacon-трафика — периодических обращений к C2-серверу. Использование репутационных баз IP-адресов и доменов (VirusTotal, AlienVault OTX).
- Анализ потребления ресурсов: мониторинг загрузки ЦП, оперативной памяти и дискового ввода-вывода через Performance Monitor (Windows) или top/iostat (Linux). Шпионские программы могут проявляться всплесками активности.
- Сигнатурное сканирование: использование антивирусных движков (ClamAV, YARA-правила). Эффективность ограничена для неизвестных или полиморфных угроз.
Уровень 2: Статический анализ артефактов 💾
Анализ данных на носителях без их выполнения:
- Анализ автозагрузки: исследование всех точек персистентности — ключей реестра (Run, RunOnce, службы), папок автозагрузки, планировщика задач (Scheduled Task), DLL-инжекции через AppInit_DLLs или DLL Search Order Hijacking.
- Анализ файловой системы: поиск скрытых файлов и каталогов, файлов с двойными расширениями. Проверка цифровых подписей исполняемых файлов на предмет подделки. Сравнение хэш-сумм системных файлов с эталонными (с использованием sfc /verifyonly в Windows).
- Анализ памяти (дамп оперативной памяти): получение дампа с помощью WinPmem, LiME (Linux). Последующий анализ в Volatility Framework позволяет выявить: скрытые процессы (pslist, psscan), внедренные в процессы DLL-библиотеки (dlllist), открытые сетевые сокеты (netscan), хуки в системные структуры ядра (apihooks, ssdt).
Уровень 3: Динамический анализ в изолированной среде 🏜️
Запуск подозрительных файлов в песочнице (sandbox), позволяющий увидеть поведение, которое не видно в статике. Инструменты: Cuckoo Sandbox, ANY.RUN, Falcon Sandbox. Индикаторы заражения в динамике:
- Попытки доступа к системным базам данных (SAM, SYSTEM).
- Вызов SetWindowsHookEx (клавиатурный шпион).
- Чтение буфера обмена (GetClipboardData).
- Отправка данных на неизвестные IP (особенно в нестандартные порты: 5555, 6666, 31337).
- Создание скрытых окон (с параметром WS_EX_TOOLWINDOW).
Уровень 4: Ручной реверс-инжиниринг — для самых сложных случаев 🧬
Когда автоматические методы бессильны (например, кастомное ПО, написанное под конкретную жертву), применяем reverse engineering. Инструментарий: IDA Pro, Ghidra, x64dbg, radare2, Wireshark + tcpdump. Что ищем в коде:
- Строки с URL/IP (особенно в зашифрованном виде — через функцию XOR или AES).
- Вызовы InternetOpen, URLDownloadToFile, WinHttpOpen.
- Функции для работы с веб-камерой, микрофоном.
- Код для обхода UAC (например, через CMSTP, EventViewer).
- Механизмы персистенции.
Раздел 3. Кейс № 1: Финансовый троян и хищение денежных средств со счетов 💰📱
Методологическая основа кейса. Данный случай демонстрирует классическую схему атаки с использованием социальной инженерии и вредоносного ПО, нацеленного на хищение банковских данных. Рассматриваемая ситуация является типичной для современного ландшафта киберугроз.
Обстоятельства. В нашу лабораторию обратился гражданин, с чьего банковского счета было списано 950 000 рублей. Заявитель получил текстовое сообщение от имени банка со ссылкой на разблокировку карты, перешел по ней и ввел свои учетные данные на фишинговом сайте.
Суть атаки. На хакерских форумах активно предлагаются в аренду вредоносные программы для Android, которые умеют подменять экраны банковских приложений и сайтов, показывая жертве фальшивые формы. Вредонос также перехватывает нажатия клавиш, включая ввод PIN-кодов, работает с SMS: читает сообщения, отправляет их, удаляет и собирает историю переписки и контактов.
Этапы поиска шпионского ПО:
- Создана побитовая копия внутреннего накопителя смартфона с использованием аппаратного блокиратора записи.
- В системном разделе памяти обнаружено приложение без иконки, скрытое из общего списка установленных программ.
- Приложение запрашивало доступ к текстовым сообщениям, уведомлениям и возможность отображать окна поверх других приложений.
- Анализ исполняемого файла выявил функции перехвата одноразовых паролей.
Результат. Вредоносный модуль удален. Составлено заключение для правоохранительных органов, использованное в банке для страхового возмещения. Поиск шпионского ПО в подобных случаях позволяет восстановить цепочку заражения и подготовить доказательства для суда. Мы в Москве, но для анализа стационарных серверов готовы вылетать в любой регион России.
Раздел 4. Кейс № 2: Шпионское ПО через модифицированный драйвер (kernel-mode rootkit) 🏢💻
Методологическая основа кейса. Данный случай относится к классу наиболее сложных и трудно обнаруживаемых угроз, где закладка работает на уровне ядра операционной системы. Обнаружение требует применения методов статического и динамического анализа ядра.
Обстоятельства. Крупный производитель автокомпонентов заподозрил утечку чертежей и коммерческих предложений. Сотрудники жаловались на «перебои с интернетом», провайдер не фиксировал сбоев. Внутренний аудит не выявил вредоносного ПО на рабочих станциях.
Суть атаки. Злоумышленник модифицировал драйвер сетевого адаптера (NIC) на нескольких ключевых серверах. При загрузке драйвер инициировал теневой сетевой туннель на уровне ядра ОС, дублируя пакеты с определёнными типами. Никаких процессов в системе не появлялось, антивирусы и EDR-решения не срабатывали, так как закладка работала на уровне ядра (kernel-mode). Драйвер был подписан украденным сертификатом, поэтому системы не выдавали предупреждений.
Этапы поиска шпионского ПО:
- Использован анализатор сетевых пакетов в режиме мониторинга (промышленная PCAP-запись).
- Выявлены пакеты на нестандартный порт, направленные на IP-адрес вне бизнес-партнёров.
- Проведён анализ хеш-сумм сетевых драйверов — обнаружено несоответствие эталонным версиям.
- С помощью дампа памяти ядра получен код закладки.
- Проведено аппаратное тестирование сетевой карты: закладка прописана не только в драйвере, но и в EEPROM сетевой карты.
Результат. Обнаружены три сервера с закладкой. Установлен бывший IT-директор. Данный пример показывает, что поиск шпионского ПО не заканчивается на антивирусе. Поиск шпионского ПО на уровне ядра и EEPROM требует уникального оборудования и методик. Мы в Москве, но для анализа стационарных серверов готовы вылетать в любой регион России.
Раздел 5. Кейс № 3: Сталкерское ПО с физическим доступом к устройству 📱👤
Методологическая основа кейса. Данный случай иллюстрирует класс угроз, связанных с физическим доступом к устройству жертвы. Сталкерское ПО (stalkerware) маскируется под легитимные приложения и требует комплексного анализа разрешений и сетевой активности.
Обстоятельства. В лабораторию обратилась гражданка с жалобами на аномальное поведение смартфона: быстрый разряд аккумулятора, щелчки и эхо во время телефонных разговоров, самопроизвольное включение экрана в ночное время. Заявительница находилась в процессе расторжения брака и подозревала супруга в установке шпионского ПО.
Суть атаки. Устройство заражено сталкерским ПО (stalkerware) — классом приложений, которые рекламируются как «инструменты родительского контроля», но отличаются от легитимного родительского контроля скрытностью. Сталкерские приложения регулярно передают на сервер геолокацию жертвы, способны отправлять переписки и другую конфиденциальную информацию, включать звукозапись с микрофона.
Этапы поиска шпионского ПО:
- Устройство помещено в экранирующую камеру для блокировки всех каналов связи.
- Создана побитовая копия внутренней памяти.
- Анализ установленных приложений выявил пакет с названием, визуально неотличимым от системной службы обновлений. Отличие заключалось в одной букве в имени пакета.
- Цифровая подпись приложения не соответствовала сертификату разработчика.
- Приложение запрашивало доступ к микрофону, камере, геолокации, контактам, текстовым сообщениям и возможности записи экрана.
Результат. Вредоносный пакет удален. Составлено заключение, использованное в судебном процессе. Супруг признал факт установки ПО. Заключение эксперта по итогам поиска шпионского ПО стало основанием для возбуждения уголовного дела по ст. 137, 138, 272, 273 УК РФ.
Раздел 6. Инструментарий для поиска шпионского ПО 🛠️
Программные средства:
- Для извлечения данных: Cellebrite UFED, Magnet AXIOM, Oxygen Forensic Detective — создание резервных копий, физических дампов iOS/Android.
- Для анализа образов дисков: X-Ways Forensics, EnCase, FTK Imager — поиск скрытых файлов, артефактов реестра.
- Для анализа памяти: Volatility 3, Rekall — обнаружение бесфайловых шпионов, инжектированных процессов.
- Для статического анализа APK/IPA: jadx, Ghidra, IDA Pro — декомпиляция, анализ кода на предмет шпионских функций.
- Для динамического анализа: Cuckoo Sandbox, ANY.RUN — запуск подозрительных программ в изолированной среде.
- Для сетевого анализа: Wireshark, Zeek, Suricata — анализ дампов трафика на предмет C2-соединений.
- Для сигнатурного поиска: YARA-правила (более 5000 сигнатур spyware), ClamAV, собственные коллекции.
Аппаратные средства:
- Аппаратные блокираторы записи Tableau Forensic Bridge, Logicube Falcon — обеспечивают криминалистическую чистоту копирования.
- Программаторы Medusa Pro, EasyJTAG, Z3X — для снятия физических дампов EMMC/UFS с мобильных устройств.
- SPI-программаторы — для извлечения прошивок EFI при подозрении на буткит.
Раздел 7. Самостоятельная первичная проверка (Android и iOS) 📱🔍
Если ситуация не критична, можно начать с этих шагов:
Для Android:
- Проверьте разрешения в Настройки → Приложения → Специальный доступ. Отключите подозрительные права у всех приложений, особенно «Специальные возможности» и «Поверх других окон».
- Установите специализированный сканер (Kaspersky, Protectstar Anti Spy) и проведите полную проверку.
- Переведите телефон в безопасный режим (зажать кнопку питания, затем долго тапнуть по «Выключению») и проверьте список приложений. В этом режиме сторонний софт не запускается.
- Проверьте папку «Загрузки» на наличие подозрительных файлов, которых вы точно не загружали.
Для iPhone (iOS):
- Проверьте библиотеку приложений — листайте до упора вправо до последнего домашнего экрана. Здесь вы увидите все приложения, даже скрытые.
- Проверьте Настройки → Основные → VPN и управление устройством — удалите любые профили, которые вы не узнаете.
- Проверьте Настройки → Основные → Хранилище iPhone на наличие приложений, которых нет на домашних экранах.
- Используйте Mobile Verification Toolkit (MVT) — бесплатный инструмент от Amnesty International, извлекающий данные из резервной копии для поиска индикаторов компрометации.
Важно: Если ни один из этих шагов не помог, остается крайняя мера — восстановление заводских настроек. Однако это может быть недостаточно для удаления государственных шпионских программ типа Pegasus или Graphite.
Раздел 8. Приглашение на сайт 🔗
Уважаемые коллеги! Мы показали методологию, инструментарий и реальные кейсы из практики. Если вы подозреваете наличие шпионского ПО на своих устройствах или в корпоративной сети — мы готовы провести полную диагностику. Находимся в Москве, но для сложных дел и анализа стационарных серверов готовы вылетать в любой регион России. 🏢🛡️
Подробнее о наших услугах: https://фсэ.рф
Раздел 9. Финальный аккорд 🎯
Дорогие друзья! Поиск шпионского ПО — это не про «вирусы», это про реальных людей, которые охотятся за вашими данными. Поиск шпионского ПО требует не просто сканирования, а реверс-инжиниринга, анализа дампов памяти и трафика. Поиск шпионского ПО — это единственный способ разорвать цепочку утечки, когда антивирусы бессильны. Поиск шпионского ПО — это необходимая мера, если вы цените свою информацию. Поиск шпионского ПО — это наша специализация. И мы готовы прийти на помощь в любой точке России. ✈️🔐
С уважением и готовностью защищать,
Союз «Федерации судебных экспертов» 🛡️💻🔍


Задавайте любые вопросы