Город:  Москва, Кузнецкий Мост 21/5  График работы: 9-00 – 18-00,  пн-пт
+7 (800) 600-84-29
+7 (985) 784-84-28
info@sudagent.ru
Обратный звонок
+7 (499) 444-84-28 +7 (800) 600-84-29
Судебно-экспертное агентство
Москва, Кузнецкий Мост 21/5, Офис 5059 Москва
+7 (800) 600-84-29 +7 (985) 784-84-28 info@sudagent.ru

Компьютерно-техническая экспертиза: идентификации вредоносной программы на мобильном телефоне

Мошенничество с помощью установки шпионских программ

В нашу организацию обратился клиент, ставший жертвой мошеннических действий, произведенных через мессенджер WhatsApp. У него списали деньги с кредитной карты, и он рассказал следующую историю. В мессенджере WhatsApp с ним связалась девушка и сообщила, что якобы написала про него статья в Википедию и хотела бы, чтобы он предварительно ознакомился с текстом и внес необходимые правки. Наш клиент попытался перейти по присланной ссылке, однако статья не открылась, но при этом на телефон установилась какая-то программа. Спустя какое-то время клиент попытался войти в приложение своего банка, однако оно оказалось заблокированным. Связавшись с банком, он узнал, что с его карты списана крупная сумма денежных средств, при этом, как уточнил заказчик, каких-либо уведомлений от банка не поступало.

Установить признаки несанкционированного доступа к телефону - задача компьютерно-технической экспертизы

На экспертизу был поставлен вопрос «Имеются ли признаки несанкционированного доступа в определенный период времени к программному обеспечению, мобильным приложениям устройства третьих лиц посредством действия вредоносных программ, способных модифицировать приложения, запущенные пользователем, осуществлять скрытое копирование данных аутентификации пользователя к банковской системе, паролей и сертификатов пользователя, файлов с ключевой информацией, загружать или запускать на исполнение файлы, полученные с удаленного сервера, имитировать отправку сообщений с мобильного устройства или иные?»

В распоряжение эксперта были предоставлены:

  • мобильный телефон;
  • протокол допроса потерпевшего;
  • выписка из банка о движении денежных средств.

Экспертом была восстановлена хронология событий на устройстве за интересующий период, включая анализ отправленных и полученных SMS. Анализ содержимого телефона показал, какие приложения на него были установлены.

На этапе осмотра обнаружилось, что основные настройки мобильного телефона — разделы телефона, такие как «Сведения о телефоне», «Учётные записи», «Профиль пользователя», «Особые права доступа», оказались заблокированы. Блокировка выражалась в отсутствии возможности войти в данные разделы настроек, то есть осуществлялся сброс данного действия. Такая блокировка напрямую указывала на деятельность вредоносной программы — своего рода «сетевого разбойника», взявшего в заложники телефон его владельца.

Кроме того, вредоносное приложение имело особые разрешения, в числе которых: «Отправка SMS», «SMS» (чтение), «Чтение журнала вызовов», «Точное расположение», «Телефонные вызовы», «Отключение защиты», «Чтение всего хранилища», «Интернет», «Изменение состояния Wi-Fi», «Запрос на удаление приложений». Чтобы понять, какое из приложений таки образом влияет на телефон, эксперт включил его в безопасном режиме и обнаружил приложение с под названием «Википедия», которое обладало особыми правами администратора. Это приложение было загружено через мессенджер WhatsApp и установлено в тот же день, когда совершилось мошенничество, что также было отражено в представленной копии заказчиком информации - в Протоколе допроса потерпевшего. Исследование позволило установить, что после того, как заказчик кликнул по неизвестной ссылке, на телефон проникла шпионская программа. Практически одновременно с банковского счета потерпевшего были списаны денежные средства.

Для проверки обнаруженной программы эксперт использовал арсенал антивирусных систем, и все они показали, что приложение «Википедия» представляло собой вирусную программу (троян), а не справочник, способную захватывать данные банковских систем, электронных кошельков и карт, отправляя их третьим лицам.

Использование результатов экспертизы в уголовном процессе

Ответ на поставленный перед экспертом вопрос был полностью положительным: имеются признаки несанкционированного доступа к программному обеспечению, мобильным приложениям устройства третьих лиц. Заключение было использовано для доказательства факта списания денежных средств третьими лицами, а не самим владельцем телефона, и послужило в дальнейшем основанием для уголовного разбирательства по факту мошенничества.

Компьютерно-техническая экспертиза: идентификации вредоносной программы на мобильном телефоне

20 августа 2025
Теги:

Мошенничество с помощью установки шпионских программ

В нашу организацию обратился клиент, ставший жертвой мошеннических действий, произведенных через мессенджер WhatsApp. У него списали деньги с кредитной карты, и он рассказал следующую историю. В мессенджере WhatsApp с ним связалась девушка и сообщила, что якобы написала про него статья в Википедию и хотела бы, чтобы он предварительно ознакомился с текстом и внес необходимые правки. Наш клиент попытался перейти по присланной ссылке, однако статья не открылась, но при этом на телефон установилась какая-то программа. Спустя какое-то время клиент попытался войти в приложение своего банка, однако оно оказалось заблокированным. Связавшись с банком, он узнал, что с его карты списана крупная сумма денежных средств, при этом, как уточнил заказчик, каких-либо уведомлений от банка не поступало.

Установить признаки несанкционированного доступа к телефону - задача компьютерно-технической экспертизы

На экспертизу был поставлен вопрос «Имеются ли признаки несанкционированного доступа в определенный период времени к программному обеспечению, мобильным приложениям устройства третьих лиц посредством действия вредоносных программ, способных модифицировать приложения, запущенные пользователем, осуществлять скрытое копирование данных аутентификации пользователя к банковской системе, паролей и сертификатов пользователя, файлов с ключевой информацией, загружать или запускать на исполнение файлы, полученные с удаленного сервера, имитировать отправку сообщений с мобильного устройства или иные?»

В распоряжение эксперта были предоставлены:

  • мобильный телефон;
  • протокол допроса потерпевшего;
  • выписка из банка о движении денежных средств.

Экспертом была восстановлена хронология событий на устройстве за интересующий период, включая анализ отправленных и полученных SMS. Анализ содержимого телефона показал, какие приложения на него были установлены.

На этапе осмотра обнаружилось, что основные настройки мобильного телефона — разделы телефона, такие как «Сведения о телефоне», «Учётные записи», «Профиль пользователя», «Особые права доступа», оказались заблокированы. Блокировка выражалась в отсутствии возможности войти в данные разделы настроек, то есть осуществлялся сброс данного действия. Такая блокировка напрямую указывала на деятельность вредоносной программы — своего рода «сетевого разбойника», взявшего в заложники телефон его владельца.

Кроме того, вредоносное приложение имело особые разрешения, в числе которых: «Отправка SMS», «SMS» (чтение), «Чтение журнала вызовов», «Точное расположение», «Телефонные вызовы», «Отключение защиты», «Чтение всего хранилища», «Интернет», «Изменение состояния Wi-Fi», «Запрос на удаление приложений». Чтобы понять, какое из приложений таки образом влияет на телефон, эксперт включил его в безопасном режиме и обнаружил приложение с под названием «Википедия», которое обладало особыми правами администратора. Это приложение было загружено через мессенджер WhatsApp и установлено в тот же день, когда совершилось мошенничество, что также было отражено в представленной копии заказчиком информации - в Протоколе допроса потерпевшего. Исследование позволило установить, что после того, как заказчик кликнул по неизвестной ссылке, на телефон проникла шпионская программа. Практически одновременно с банковского счета потерпевшего были списаны денежные средства.

Для проверки обнаруженной программы эксперт использовал арсенал антивирусных систем, и все они показали, что приложение «Википедия» представляло собой вирусную программу (троян), а не справочник, способную захватывать данные банковских систем, электронных кошельков и карт, отправляя их третьим лицам.

Использование результатов экспертизы в уголовном процессе

Ответ на поставленный перед экспертом вопрос был полностью положительным: имеются признаки несанкционированного доступа к программному обеспечению, мобильным приложениям устройства третьих лиц. Заключение было использовано для доказательства факта списания денежных средств третьими лицами, а не самим владельцем телефона, и послужило в дальнейшем основанием для уголовного разбирательства по факту мошенничества.

Предыдущая публикация
Следующая публикация
Заказать экспертизу
Нажимая на кнопку «Отправить», вы подтверждаете свое согласие на обработку персональных данных
Публикации
25 июля 2023
Принуждение к сделке: экспертиза как способ оспорить сделку
1 марта 2021
Топ 5 экспертных ошибок, которые можно выявить самостоятельно
Все публикации
Наши услуги
Заверение электронных переписок
Строительно-техническая экспертиза
Инженерно-техническая экспертиза
Оценочная экспертиза
Фоноскопическая экспертиза
Лингвистическая экспертиза
Компьютерно-техническая экспертиза
Экспертиза давности создания документов
Автороведческая экспертиза
Все услуги