
📱💰⚖️ Аннотация. В условиях экспоненциального роста цифровизации банковского сектора и тотального проникновения мобильных гаджетов в повседневную финансовую активность граждан, проблема противоправного списания средств с использованием слежебного софта приобретает характер системной угрозы национального масштаба. Согласно официальной статистике Центрального банка Российской Федерации, за второе полугодие 2024 года доля хищений с банковских счетов физических лиц, совершённых с применением вредоносных программ с функцией удалённого администрирования, составила от 40 до 50% от общего числа подобных инцидентов. Председатель ЦБ Эльвира Набиуллина в ходе форума «Кибербезопасность в финансах» подчеркнула: «Начал распространяться вирус типа SpyNote с функциями удалённого доступа к телефону. Он мимикрирует под разные безобидные программы, и с помощью этого вредоноса мошенники некоторое время наблюдают за телефоном, видят пароли, видят смс. Затем они без труда удалённо открывают банковское приложение и потрошат все счета без остатка». Настоящая работа представляет собой комплексное научное исследование, охватывающее криминалистический анализ механизмов совершения данных преступлений, системную методологию выявления шпионского программного обеспечения на мобильных устройствах, детальную таксономию актуальных угроз, а также процессуальные аспекты экспертного документирования результатов для целей судебного разбирательства.
- Введение: актуальность и проблемное поле исследования📊🔍
Мобильные устройства трансформировались из средств коммуникации в полноценные финансовые хабы, аккумулирующие доступ к банковским счетам, кредитным историям и платёжным инструментам. По экспертным оценкам, на территории Российской Федерации функционирует не менее 60–70 миллионов устройств на базе Android, что составляет порядка 70% рынка мобильных операционных систем. Столь колоссальная инфраструктура становится привлекательной мишенью для киберпреступников, которые непрерывно совершенствуют свои инструменты и тактики.
Особую тревогу вызывает тенденция к комплексному характеру хищений: злоумышленники не ограничиваются кражей собственных средств жертвы, но активно оформляют кредитные продукты на имя потерпевшего, похищая заёмные средства, которых у жертвы изначально не существовало. Итоговый ущерб в таких случаях может достигать нескольких миллионов рублей, а восстановление финансового благополучия растягивается на годы.
Цель настоящего исследования — разработка научно обоснованной, многоуровневой методологии выявления шпионского ПО на мобильных устройствах, позволяющей достоверно установить механизм кражи денежных средств как по назначению следственных органов, так и в рамках независимого экспертного исследования.
Задачи исследования:
- Провести таксономический анализ современных угроз, ассоциированных с хищением финансов через мобильные платформы.
- Разработать многоуровневую модель экспертного анализа мобильных устройств с учётом последних модификаций вредоносного кода.
- Представить эмпирические кейсы, иллюстрирующие различные сценарии проникновения и реализации хищений.
- Сформулировать процессуальные рекомендации для юридически корректного оформления результатов экспертизы в рамках уголовного судопроизводства.
- Таксономия угроз: классификация шпионского ПО для хищения денежных средств🗂️🦠
Для эффективного выявления слежебного софта необходима систематизация угроз по принципу действия и целевой направленности. Особую опасность представляют программы, специализирующиеся непосредственно на финансовых хищениях и обладающие функциями удалённого контроля.
2.1. Банковские трояны с функцией удалённого доступа (RAT — Remote Access Trojan) 💀📱
- SpyNote и его модификации.Согласно официальным данным ЦБ РФ, именно этот вирус стал доминирующей угрозой для российских пользователей во второй половине 2024 года. Его операционный цикл включает: маскировку под легитимное приложение; скрытый мониторинг активности жертвы с перехватом паролей и SMS-сообщений; удалённое открытие банковского клиента и инициацию транзакций по полному списанию средств.
- CraxsRAT.Многофункциональный Android-троян, эволюционировавший на основе исходных кодов SpyNote. По данным аналитиков компании F6, в феврале 2025 года количество заражений данным вредоносом увеличилось в 2,5 раза по сравнению с декабрем 2024 года, а общее число скомпрометированных устройств превысило 22 000. Распространяется под видом обновлений и легитимных приложений, предоставляя атакующим расширенный пул возможностей удалённого управления.
- LunaSpy.Эксперты «Лаборатории Касперского» зафиксировали более 3000 атак на владельцев Android-устройств в России с использованием этого трояна. Основные всплески активности пришлись на июнь-июль 2024 года. Распространяется через мессенджеры под видом антивирусных и финансовых защитных решений. Имитирует работу легитимного антивируса, демонстрируя ложные уведомления о киберугрозах, чтобы убедить пользователя предоставить все необходимые разрешения. Функционал включает запись видео и аудио, отслеживание геопозиции, запись экрана, кражу паролей и чтение SMS. Специалисты не исключают использования LunaSpy как вспомогательного инструмента для финансовых хищений.
2.2. Трояны для кражи данных банковских карт через NFC 📡💳
Связка CraxsRAT и NFCGate представляет собой качественно новую угрозу. NFCGate изначально был разработан немецкими студентами в 2015 году как исследовательский инструмент, однако злоумышленники адаптировали его для криминальных целей. При установке такого ПО под видом легитимного приложения программа запрашивает у пользователя приложить банковскую карту к NFC-модулю и ввести PIN-код, после чего данные мгновенно передаются злоумышленникам, позволяя им обналичить средства в банкомате.
Общий ущерб от атак с использованием NFCGate на клиентов российских банков за первые два месяца 2025 года оценивается почти в 200 миллионов рублей. В феврале число таких инцидентов выросло на 80% по сравнению с январем, что свидетельствует о стремительном масштабировании данной угрозы.
2.3. Кейлоггеры и перехватчики SMS ⌨️📨
Трояны-кейлоггеры фиксируют нажатия на экранной клавиатуре, перехватывая вводимые пароли и реквизиты банковских карт. LunaSpy, например, крадёт пароли из браузеров и мессенджеров, включая коды двухфакторной аутентификации. Перехват SMS с одноразовыми паролями позволяет злоумышленникам подтверждать финансовые операции в обход владельца устройства.
2.4. Бесфайловые угрозы и маскировка под системные процессы 🌫️🕵️
Современные трояны активно используют методы обфускации и мимикрии. Они могут отображаться в списке приложений как «Play Services», менять иконку после первого запуска и перенаправлять пользователя к настоящему сервису Google при попытке открыть значок. Такая сложная маскировка существенно затрудняет визуальное обнаружение заражения и требует применения специализированных инструментов.
- Механизм совершения хищения: от инфицирования до полного опустошения счетов💰🔗
На основе анализа эмпирических данных выделяется типовой многостадийный сценарий, который необходимо учитывать в рамках методологии выявления слежебного ПО.
Этап 1: Внедрение. Злоумышленники активно используют социальную инженерию. Через мессенджеры (WhatsApp, Telegram) рассылаются вредоносные APK-файлы, замаскированные под фотоархивы, видео, приложения портала «Госуслуги», фейковое приложение «ГосЗащита», ПО мобильных операторов, популярные антивирусы и неофициальные версии Telegram. Специалисты F6 выявили более 140 уникальных образцов CraxsRAT, что свидетельствует о высокой вариативности векторов атак.
Этап 2: Скрытое наблюдение. После инсталляции троян функционирует в скрытом режиме. Он может длительное время (от нескольких дней до недель) мониторить активность пользователя, накапливая пароли и перехватывая SMS-сообщения.
Этап 3: Получение контроля. Используя собранные данные (логины, пароли, коды подтверждения), злоумышленники легитимизируются в банковских приложениях жертвы.
Этап 4: Хищение собственных средств. Мошенники удалённо открывают банковский клиент и производят списание всех доступных средств без остатка.
Этап 5: Оформление кредитов и хищение заёмных средств. Наиболее деструктивный этап. Злоумышленники, используя доступ к банковскому приложению, инициируют кредитные заявки на сумму от 300 000 до 2–3 миллионов рублей и немедленно выводят эти деньги, которых у жертвы изначально не было. Итоговый ущерб может составлять несколько миллионов рублей, а восстановление платежеспособности занимает годы.
Этап 6: Обналичивание через NFC. В ряде случаев задействуется связка CraxsRAT и NFCGate для перехвата данных банковских карт через NFC-модуль и последующего обналичивания в банкоматах.
- Методология экспертного исследования: выявление шпионского ПО на мобильных устройствах🛠️🔬
Профессиональное выявление слежебного софта для целей судебного разбирательства должно базироваться на строгой методологии цифровой криминалистики и включать последовательные этапы.
4.1. Этап 1: Криминалистическая изоляция и создание дампа ⛓️💾
Устройство помещается в экранирующую камеру Фарадея, блокирующую все радиоканалы связи. С использованием аппаратно-программных комплексов (Cellebrite UFED, Magnet AXIOM, Oxygen Forensic Detective) создаётся побитовая копия всей доступной памяти. Каждый образ снабжается криптографическими хэш-суммами (MD5, SHA-256) для гарантии неизменности и доказательной ценности на всех стадиях судопроизводства.
4.2. Этап 2: Статический анализ 🔍📁
- Сигнатурный поиск: использование обширных баз YARA-правил и специализированных антивирусных движков для идентификации известных образцов (SpyNote, CraxsRAT, LunaSpy, NFCGate).
- Анализ манифеста: верификация разрешений, запрашиваемых приложениями (доступ к SMS, контактам, геолокации, камере, микрофону, NFC-модулю).
- Проверка цифровых подписей: сопоставление с эталонными сертификатами разработчиков для выявления подделок.
- Анализ точек персистентности: исследование механизмов автозагрузки (Broadcast Receivers, Services, JobScheduler), позволяющих трояну сохранять активность после перезагрузки устройства.
4.3. Этап 3: Динамический анализ и форензика памяти 🧠🔬
- Анализ дампов оперативной памяти: выявление скрытых процессов, инжектированных модулей и открытых сетевых сокетов.
- Анализ сетевой активности: реконструкция сетевого трафика для выявления несанкционированных соединений с командно-управляющими (C2) серверами.
- Поведенческий анализ в изолированной среде: запуск подозрительных исполняемых файлов в песочнице (Cuckoo Sandbox, CAPE для Android) с мониторингом системных вызовов, файловых операций и сетевой активности.
4.4. Этап 4: Восстановление цепочки финансовых операций 💰🔗
Для установления точного механизма кражи эксперты:
- Анализируют временные метки перехвата SMS с кодами подтверждения.
- Сопоставляют временные метки сессий в банковском приложении с моментами заражения и активации трояна.
- Восстанавливают IP-адреса, с которых осуществлялся несанкционированный доступ к банковским клиентам.
- Идентифицируют счета получателей похищенных средств, включая кредитные деньги.
- Эмпирические кейсы: вариативность векторов проникновения📖🔎
Рассмотрение реальных инцидентов позволяет конкретизировать разработанную методологию выявления слежебного ПО.
Кейс №1: SpyNote — классическая схема «потрошения» счетов 💰🏦
Вариант проникновения: Жертва получает сообщение в мессенджере с предложением установить «защитное приложение» от якобы сотрудника банка или государственного органа.
Механизм: После установки SpyNote маскируется под системный компонент. В течение нескольких дней злоумышленники мониторят активность, перехватывая пароли и SMS. Затем удалённо открывается банковское приложение и производится списание всех средств. Данный метод фигурирует в 40–50% всех зафиксированных хищений.
Юридическое значение: Экспертиза позволяет достоверно установить факт наличия SpyNote, временные метки его активности и цепочку перехваченных данных, что является фундаментом для возбуждения уголовного дела.
Кейс №2: Связка CraxsRAT и NFCGate — хищение без единого звонка 📡💳
Вариант проникновения: Пользователь скачивает приложение под видом «Госуслуги Верификация» или «Защита карт ЦБ РФ». Программа запрашивает доступ к NFC-модулю и просит приложить банковскую карту.
Механизм: CraxsRAT предоставляет удалённый контроль, а NFCGate перехватывает данные карты. Мошенники получают полный доступ ко всем банковским приложениям, возможность перехватывать уведомления и коды подтверждения, а также обналичивать похищенные средства в банкоматах. Общее число скомпрометированных устройств превысило 158 000.
Юридическое значение: В рамках экспертизы можно установить факт использования обеих программ и восстановить цепочку перехвата NFC-данных.
Кейс №3: LunaSpy — массовый шпионаж с финансовой целью 🇷🇺🦠
Вариант проникновения: Распространение через мессенджеры под видом антивирусных решений. Вредонос имитирует работу легитимного защитного ПО, демонстрируя ложные уведомления.
Механизм: Кража паролей из браузеров и мессенджеров, включая коды двухфакторной аутентификации. Собранные данные передаются атакующим. Специалисты допускают использование LunaSpy как вспомогательного инструмента для финансовых хищений.
Юридическое значение: Экспертиза позволяет установить факт наличия LunaSpy, поведенческие паттерны и объём скомпрометированных данных.
Кейс №4: Coyote — банковский троян с использованием UI Automation 🖥️🔍
Вариант проникновения: Нацелен на пользователей Windows, демонстрируя эволюцию методов атак.
Механизм: Использует Microsoft UI Automation (UIA) для анализа элементов интерфейса в браузерах. Нацелен на 75 финансовых приложений, включая платформы для обмена цифровыми активами. Извлекает URL из вкладок и адресной строки.
Значение для методологии: Данный кейс расширяет границы экспертного исследования, показывая, что угрозы могут исходить не только от мобильных устройств, но и от ПК, используемых для онлайн-банкинга.
- Индикаторы компрометации: диагностические признаки наличия шпионского ПО🚨📊
Для своевременного обнаружения угрозы рекомендуется обращать внимание на следующие группы признаков:
6.1. Аномальное поведение устройства 📉
• Ускоренный разряд аккумулятора.
• Перегрев корпуса при отсутствии ресурсоёмких задач.
• Замедление работы, зависания, самопроизвольные перезагрузки.
• Самостоятельная активация камеры или микрофона.
6.2. Подозрительная сетевая активность 🌐
• Повышенный расход интернет-трафика.
• Обнаружение неизвестных исходящих соединений на нестандартные порты.
6.3. Подозрительная системная активность ⚙️
• Наличие незнакомых приложений, маскирующихся под системные (Play Services с нестандартной подписью).
• Неожиданное получение кодов подтверждения операций, не инициированных пользователем.
6.4. Компрометация финансового окружения 💰
• Необъяснимые списания со счетов.
• Уведомления о кредитах, которые пользователь не оформлял.
• Звонки от коллекторов по кредитам, которые жертва не брала.
- Процессуальные основания и юридическая квалификация⚖️📜
Результаты экспертного выявления слежебного ПО могут служить основанием для возбуждения уголовного дела по следующим статьям УК РФ:
- Статья 158— Кража с банковского счёта (п. «г» ч. 3).
• Статья 159.3 — Мошенничество с использованием платёжных карт.
• Статья 159.6 — Мошенничество в сфере компьютерной информации.
• Статья 272 — Неправомерный доступ к компьютерной информации.
• Статья 273 — Создание, использование и распространение вредоносных программ.
Для того чтобы экспертное заключение обладало доказательной силой, оно должно быть получено с неукоснительным соблюдением всех процессуальных норм: экспертиза назначается на основании постановления следователя или определения суда (ст. 195 УПК РФ), эксперт предупреждается об ответственности по ст. 307 УК РФ за дачу заведомо ложного заключения, а все действия по изъятию и исследованию объектов строго документируются.
- Рекомендации по защите и алгоритм действий при обнаружении хищения🛡️🆘
8.1. Превентивные меры 🛡️
• Устанавливайте приложения только из официальных магазинов (Google Play, RuStore, App Store).
• Не переходите по ссылкам из SMS и мессенджеров, даже если они выглядят как официальные уведомления банков.
• Никогда не сообщайте третьим лицам CVV-коды, PIN-коды банковских карт, логины и пароли.
• Если вам предлагают установить приложение банка по ссылке, самостоятельно наберите номер горячей линии, указанный на оборотной стороне карты.
• Используйте надёжное защитное решение с функциями анти-фишинга и сканирования установленных приложений.
8.2. Экстренный алгоритм действий при обнаружении хищения 🚨
- НЕ ПРЕДПРИНИМАТЬ САМОСТОЯТЕЛЬНЫХ ДЕЙСТВИЙ ПО УДАЛЕНИЮ!🛑 Это уничтожит цифровые улики.
- НЕМЕДЛЕННО ОТКЛЮЧИТЬ УСТРОЙСТВО ОТ СЕТИ ИНТЕРНЕТ.✈️ Активировать режим «в самолёте» для блокировки канала утечки данных.
- ЗАФИКСИРОВАТЬ ВСЕ ФИНАНСОВЫЕ ОПЕРАЦИИ: сделать скриншоты уведомлений о списаниях и оформленных кредитах.
- НЕЗАМЕДЛИТЕЛЬНО ОБРАТИТЬСЯ В БАНКдля блокировки карт и оспаривания несанкционированных операций.
- ОБРАТИТЬСЯ К ЭКСПЕРТАМдля проведения квалифицированного выявления шпионского ПО и фиксации цифровых доказательств.
- ПОДАТЬ ЗАЯВЛЕНИЕ В ПРАВООХРАНИТЕЛЬНЫЕ ОРГАНЫс приложением экспертного заключения.
Ознакомьтесь с полным перечнем услуг и методик диагностики на официальной странице 🔗
- Заключительный вывод и перспективы исследований🗝️🔭
Проведённое научное исследование механизмов хищения денежных средств с использованием шпионского ПО на мобильных устройствах позволяет сформулировать следующие ключевые выводы и определить направления для дальнейших изысканий:
- Эволюция угроз: Современные банковские трояны (SpyNote, CraxsRAT, LunaSpy) представляют собой высокоорганизованные программные комплексы с многоступенчатым циклом атаки, нацеленные на полное опустошение счетов жертв, включая оформление кредитных продуктов на имя потерпевшего. Особую опасность представляет конвергенция технологий — комбинирование RAT-функционала с перехватом NFC-данных.
- Необходимость междисциплинарного подхода: Эффективное противодействие данным угрозам требует синтеза знаний в области цифровой криминалистики, банковского права, поведенческой психологии (для анализа социальной инженерии) и компьютерной лингвистики (для анализа фишинговых сообщений).
- Критическая роль экспертизы: Профессиональное выявление шпионского ПО является критически важным инструментом не только для установления факта преступления, но и для восстановления полной хронологии финансовых операций, идентификации злоумышленников и обоснования размера причинённого ущерба. Без качественного экспертного заключения возбуждение уголовного дела и передача его в суд становятся крайне затруднительными.
- Необходимость совершенствования нормативной базы: Существующее процессуальное законодательство требует адаптации к динамике киберугроз — в частности, ускорение процедуры назначения экспертизы и расширение перечня допустимых методов исследования.
Инвестиции в профессиональную цифровую диагностику являются не затратами, а стратегическим вложением в защиту от многократно больших финансовых потерь. Доверяйте безопасность своих устройств и защиту своих прав только тем, кто владеет передовыми методами цифровой криминалистики, способен распознавать даже самые искусно замаскированные угрозы и оформлять результаты исследования в виде юридически безупречного документа, признаваемого судом.
В условиях непрерывной гонки вооружений между киберпреступниками и специалистами по безопасности только опережающее развитие методик выявления и постоянное повышение квалификации экспертного сообщества могут обеспечить надёжную защиту финансового благополучия граждан и стабильность банковской системы в целом. ⚖️🔒🇷🇺





Задавайте любые вопросы