Некоторые особенности расследования преступлений, совершаемых с помощью вредоносных приложений для мобильных устройств
ART 96328
Авторы:
В.
А. Егоров, Н.
В. Яджин
В.
А. Егоров, Н.
В. Яджин Библиографическое описание статьи для цитирования:
Егоров
В.
А.,
Яджин
Н.
В. Некоторые особенности расследования преступлений, совершаемых с помощью вредоносных приложений для мобильных устройств // Научно-методический электронный журнал «Концепт». –
2016. – Т. 15. – С.
2041–2045. – URL:
http://e-koncept.ru/2016/96328.htm.
Аннотация. В статье рассматриваются некоторые особенности расследования преступлений, совершаемых с помощью вредоносных приложений для мобильных устройств. Рассматриваются основные способы совершения этих преступлений и возможности использования специальных знаний для исследования программных средств.
Ключевые слова:
вирусные приложения для мобильных устройств, кражи с использованием мобильных устройств, компьютерно-техническая экспертиза, программно-компьютерное исследование
Текст статьи
Яджин Николай Васильевич,кандидат юридических наук, доцент, старший научный сотрудник, профессор кафедры организации расследования преступлений и судебных экспертиз ФГКОУ ДПО «Тюменский институт повышения квалификации сотрудников МВД России», г. Тюменьyadzhinnw@mail.ru
Егоров Владимир Александрович,начальник следственного отдела МО МВД России «Варгашинский» УМВД России по Курганской области, г. КурганQuesttime@mail.ru
Некоторые особенности расследования преступлений, совершаемых
с помощью вредоносныхприложений для мобильных устройств
Аннотация.В статье рассматривается некоторые особенности расследования преступлений совершаемых с помощью вредоносныхприложений для мобильных устройств. Рассматриваютсяосновные способы совершения этих преступлений ивозможности использования специальных знаний для исследования программных средств.Ключевые слова: вирусные приложения для мобильных устройств, кражи с использованием мобильных устройств, компьютернотехническая экспертиза, программнокомпьютерное исследование.
Одной из главных тенденций в развитии киберугроз остается непрекращающийся быстрый рост количества вредоносных программ, нацеленных на мобильные операционные системы. Так, за период с апреля по июнь 2015 года эксперты «Лаборатории Касперского»зафиксировалипочти 300 тысяч образцов новых мобильных зловредов —а, значит, по сравнению с первым кварталом этого года их число увеличилось почти в три раза.
Наиболее активно мобильные банковские троянцыраспространяются в Корее, а вот второе место в этом рейтинге принадлежит России —как свидетельствуют внутренние статистические данные «Лаборатории Касперского», во втором квартале 2015 года каждый десятый российский пользователь, столкнувшийся хотя бы с одним мобильным зловредом, был атакован,в том числе и мобильным банковским троянцем[1], последнийв свою очередь, как правило, используются для совершения хищения безналичныхденежных средств.
Пользователи все активнее уходят в мир мобильных устройств и приложений, поэтому неудивительно, что и преступникиначинают с большей интенсивностью осваивать эту область. Так,например,если натерритории Курганской областив 2014 году не зарегистрировано ни одного случая совершения хищения безналичных денежных средств с использованием вредоносных программ, то в 2015 зарегистрировано таковых 35.
Анализ практики расследования преступлений, совершаемых с помощью вредоносныхприложений для мобильных устройств показал, что данная категория преступлений характеризуются:
сложностью выявления на стадии подготовительных действий;
скоротечностью реализации преступного замысла;
значительным материальным ущербом;
высоким профессиональным уровнем преступников;
спецификой обнаружения и закрепления следов преступной деятельности;
высокой латентностью.
Хищение денежных средств осуществляется следующим образом: организатор преступной группы приобретает вредоносную программу, предназначенную для ее объединения, с какимлибо приложением к мобильным устройствам. Для распространения вируса программы размещаются в доступной Internet сети, на сайтах или интернетмагазинах. После скачивания и установки пользователем, на мобильном устройстве активируется вирус, в зависимости от своего назначения он может сканировать физическую память устройства, осуществлять поиск установленного программного обеспечения. В случае обнаружения программного обеспечения дистанционного банкинга, вирус копирует и перенаправляет на заранее зарегистрированный злоумышленником хостинг, информацию о счете жертвы, логины и пароли доступа, и другую информацию. Одновременно вирус блокирует входящие звонки и сообщения с телефонных номеров, используемых сервисом дистанционного банкинга, содержащих информацию о паролях подтверждения, списании денег, состоявшихся платежах.
Завладев указанной информацией преступник, используя специальное программное обеспечение, получает полный доступ к управлению банковским счетом жертвы, после чего осуществляет перевод денег со счета жертвы на имеющееся в его распоряжении счета.Так, в МВД по Республике Карелия при расследовании уголовного дела в отношении гр. М., установлено, что с января по июнь 2015 года, гр. М. занимался обналичиваниемденежных средств похищенных с банковских карт вышерассмотренным способом, за сутки обналичивал денежные средства от 5 до 15 раз суммами от 3000 до 15000 рублей. Используемые банковские карты были оформлены на подставных лиц, которыми в основном являлись жители другой области, денежные средства похищались в различных регионах России[2].Способ совершения хищения приведен на схематичном рисунке1.
Другое вредоносное программное обеспечение после установки на мобильное устройство получает полный доступ к нему. Программа запрашивает через сервис услуги Internet, дистанционного банкинга, баланс привязанной к нему банковской карты, лицевого счета федерального телефонного номера, и другие идентификационные данные, при этом об этих действиях пользователь не подозревает. Вирус, получив доступ к сети Internet, синхронизируется с сервером находящимся под контролем преступника. После синхронизациисервер направляет на зараженное мобильное устройство список команд и сведений о других зараженных устройствах, куда должны быть переведены безналичные денежные средства. Часть зараженных устройств не «грабит» своих владельцев, а использует для сокрытия следов преступления. Эти устройства являются промежуточным звеном в серии переводов безналичных денежных средств до вывода их в распоряжении злоумышленника, при этом используется перевод денежных средств изначально с учетом комиссии за услуги платежных систем.
При расследовании уголовного дела по факту безналичного хищения денежных средств у гр. Р., жителя Володарского района, Нижегородской области, установлено, что посредством услуги дистанционного банкинга, направлением СМСкоманды, осуществлены два безналичных перевода денежных средств на банковские карты, один из которых на гр. Е. жителя Курганской области, второй на гр. К. жителя Приморского края.
При анализе сведений о движении безналичных денежных средств по банковской карте и федеральному телефонному номеру гр. Е. установлено, что перевод денежных средствот гр. Р, поступил на банковскую карту гр. Е, после чего с помощью услуги дистанционного банкинга безналичные денежные средства переведены на лицевой счет федерального телефонного номер гр. Е., а за тем направлены на лицевой счет федерального телефонного номера неустановленного лица. Аналогичные переводы согласно, полученных сведений из банковского учреждения и компании сотовой связи осуществляются по лицевым счетам гр. Е. в течение одного месяца, мобильный телефон используется для общения в социальных сетях и загрузки развлекательных приложений, постоянно подключенк сети Internet [3].Способ совершения хищения приведен на схематичном рисунке2..
Причинами совершения данного вида преступлений является компьютерная неграмотность пользователей высокотехнологичных устройств, отсутствие антивирусных программ на мобильных устройствах, недостатки организационного и правового регулирования активно развивающейся отрасли безналичных переводов денежных средств. Последняя предоставляет возможность перевода без надежной идентификации плательщика и получателя средств. Участники рынка, получая значительную прибыль, не заинтересованы к ограничению возможностей беспрепятственного перевода денежных средств, пока этого не будет принято на законодательном уровне. Необходимо принятие законодательных мер, которые станут профилактическими в сфере предупреждения подобных преступлений, а попустительство и промедление, повлечет неконтролируемое увеличение количества этого вида преступлений в 2016, 2017 и последующих годах.
В ходе расследования данной категории уголовных дел возникает необходимость привлечения специалиста сведущего в области компьютерной техники,как для производства осмотров,так и для производства компьютернотехнической экспертизы. Врамках последнейпроводится программнокомпьютерное исследование в целях установления наличия программного обеспечения, позволяющего получить незаконный доступ к информации, хранящейся на мобильном устройстве, структуры вредоносной программы, алгоритмов ее работы, способов и инструментов синхронизации программы и ее управлением с сервера, возможностях осуществления контроля работы программы для установления поступающей информации об адресатах, которым должны быть переведены денежные средства, IP –адреса управляющего сервера, источника внедрения вредоносного программного средства.
Однако в настоящее время специализация и экспертные методики, утвержденные в МВД России, не в полном объеме позволяют ведомственным экспертам установить обстоятельства подлежащие доказыванию при программнокомпьютерном исследовании, как правило, возможности ограничиваются описанием технических средств компьютерной системы и информации, находящейся на магнитных и оптических носителях, выявления вредоносных программ, классифицируемых антивирусным программным обеспечением. Установить способ заражения мобильных устройстввредоносной программой, алгоритм действия такой программы, механизм управление ею, схожесть вредоносных программных средств, не представляется возможным.
Отсутствие экспертных методик и технических возможностей не позволяет своевременно провести следственные и оперативнорозыскные мероприятия, направленные на установление местонахождения лиц, совершающих преступление и пресечь их преступные действия, а классифицировать вирусное программное средствовозможно лишь используя антивирусные программы сторонних разработчиков. Таким образом, проведение полной экспертизы вредоносного программного средства возможно лишь в сторонних учреждениях, не входящих в систему МВД России.
При назначении компьютернотехнических экспертиз, в части программнокомпьютерного исследования зараженных мобильных устройств,специалистуэксперту при наличии достаточной квалификации и программного обеспечения для производства экспертного исследования, важно датьответы на следующие вопросы:
1. Какие функции имеет программное средство, его классификация, из каких компонентов оно состоит?
2. Имеются ли в программном средстве функции, которые влекут уничтожение, блокирование, модификацию, копирование информации?
3. Каков состав программного средства, каковы их параметры (объемы, даты создания, атрибуты)?
4. Имеются ли в программном средстве функции, предназначенные для отправки СМСсообщений, совершения телефонных вызовов, выхода в сеть Internet, без ведома пользователя?
5. Какой алгоритм работы программного средства?
6. Какие абонентские номера, IPадреса, Internetресурсы и иные реквизиты оно использует для осуществления указанных функций?
В завершении хотелось бы отметить, чторасследованиепреступлений совершаемых с помощью вредоносный приложений для мобильных устройствна сегодняшний день остается достаточно сложной задачей для большинства сотрудников органов предварительного расследования, что обусловлено спецификой данного рода преступлений: трудностями с обобщением материалов следственной и судебной практики; отсутствием методических рекомендаций,как по организации расследования преступных деяний, так и по тактике производства следственных действий.
Ссылки на источники1.Подробнее о тенденциях развития киберугроз во втором квартале 2015 годусмотрим ваналитическомотчете«ЛабораторииКасперского»https://securelist.ru/analysis/malwarequarterly/26385/razvitieinformacionnyxugrozvovtoromkvartale2015goda/.2. Пример из практики деятельностиМВД по Республике Карелия за 2015 год.3. Пример, из практики деятельности следственного отдела МО МВД России «Варгашинский» УМВД России по Курганской области за 2016 г.
Егоров Владимир Александрович,начальник следственного отдела МО МВД России «Варгашинский» УМВД России по Курганской области, г. КурганQuesttime@mail.ru
Некоторые особенности расследования преступлений, совершаемых
с помощью вредоносныхприложений для мобильных устройств
Аннотация.В статье рассматривается некоторые особенности расследования преступлений совершаемых с помощью вредоносныхприложений для мобильных устройств. Рассматриваютсяосновные способы совершения этих преступлений ивозможности использования специальных знаний для исследования программных средств.Ключевые слова: вирусные приложения для мобильных устройств, кражи с использованием мобильных устройств, компьютернотехническая экспертиза, программнокомпьютерное исследование.
Одной из главных тенденций в развитии киберугроз остается непрекращающийся быстрый рост количества вредоносных программ, нацеленных на мобильные операционные системы. Так, за период с апреля по июнь 2015 года эксперты «Лаборатории Касперского»зафиксировалипочти 300 тысяч образцов новых мобильных зловредов —а, значит, по сравнению с первым кварталом этого года их число увеличилось почти в три раза.
Наиболее активно мобильные банковские троянцыраспространяются в Корее, а вот второе место в этом рейтинге принадлежит России —как свидетельствуют внутренние статистические данные «Лаборатории Касперского», во втором квартале 2015 года каждый десятый российский пользователь, столкнувшийся хотя бы с одним мобильным зловредом, был атакован,в том числе и мобильным банковским троянцем[1], последнийв свою очередь, как правило, используются для совершения хищения безналичныхденежных средств.
Пользователи все активнее уходят в мир мобильных устройств и приложений, поэтому неудивительно, что и преступникиначинают с большей интенсивностью осваивать эту область. Так,например,если натерритории Курганской областив 2014 году не зарегистрировано ни одного случая совершения хищения безналичных денежных средств с использованием вредоносных программ, то в 2015 зарегистрировано таковых 35.
Анализ практики расследования преступлений, совершаемых с помощью вредоносныхприложений для мобильных устройств показал, что данная категория преступлений характеризуются:
сложностью выявления на стадии подготовительных действий;
скоротечностью реализации преступного замысла;
значительным материальным ущербом;
высоким профессиональным уровнем преступников;
спецификой обнаружения и закрепления следов преступной деятельности;
высокой латентностью.
Хищение денежных средств осуществляется следующим образом: организатор преступной группы приобретает вредоносную программу, предназначенную для ее объединения, с какимлибо приложением к мобильным устройствам. Для распространения вируса программы размещаются в доступной Internet сети, на сайтах или интернетмагазинах. После скачивания и установки пользователем, на мобильном устройстве активируется вирус, в зависимости от своего назначения он может сканировать физическую память устройства, осуществлять поиск установленного программного обеспечения. В случае обнаружения программного обеспечения дистанционного банкинга, вирус копирует и перенаправляет на заранее зарегистрированный злоумышленником хостинг, информацию о счете жертвы, логины и пароли доступа, и другую информацию. Одновременно вирус блокирует входящие звонки и сообщения с телефонных номеров, используемых сервисом дистанционного банкинга, содержащих информацию о паролях подтверждения, списании денег, состоявшихся платежах.
Завладев указанной информацией преступник, используя специальное программное обеспечение, получает полный доступ к управлению банковским счетом жертвы, после чего осуществляет перевод денег со счета жертвы на имеющееся в его распоряжении счета.Так, в МВД по Республике Карелия при расследовании уголовного дела в отношении гр. М., установлено, что с января по июнь 2015 года, гр. М. занимался обналичиваниемденежных средств похищенных с банковских карт вышерассмотренным способом, за сутки обналичивал денежные средства от 5 до 15 раз суммами от 3000 до 15000 рублей. Используемые банковские карты были оформлены на подставных лиц, которыми в основном являлись жители другой области, денежные средства похищались в различных регионах России[2].Способ совершения хищения приведен на схематичном рисунке1.
Другое вредоносное программное обеспечение после установки на мобильное устройство получает полный доступ к нему. Программа запрашивает через сервис услуги Internet, дистанционного банкинга, баланс привязанной к нему банковской карты, лицевого счета федерального телефонного номера, и другие идентификационные данные, при этом об этих действиях пользователь не подозревает. Вирус, получив доступ к сети Internet, синхронизируется с сервером находящимся под контролем преступника. После синхронизациисервер направляет на зараженное мобильное устройство список команд и сведений о других зараженных устройствах, куда должны быть переведены безналичные денежные средства. Часть зараженных устройств не «грабит» своих владельцев, а использует для сокрытия следов преступления. Эти устройства являются промежуточным звеном в серии переводов безналичных денежных средств до вывода их в распоряжении злоумышленника, при этом используется перевод денежных средств изначально с учетом комиссии за услуги платежных систем.
При расследовании уголовного дела по факту безналичного хищения денежных средств у гр. Р., жителя Володарского района, Нижегородской области, установлено, что посредством услуги дистанционного банкинга, направлением СМСкоманды, осуществлены два безналичных перевода денежных средств на банковские карты, один из которых на гр. Е. жителя Курганской области, второй на гр. К. жителя Приморского края.
При анализе сведений о движении безналичных денежных средств по банковской карте и федеральному телефонному номеру гр. Е. установлено, что перевод денежных средствот гр. Р, поступил на банковскую карту гр. Е, после чего с помощью услуги дистанционного банкинга безналичные денежные средства переведены на лицевой счет федерального телефонного номер гр. Е., а за тем направлены на лицевой счет федерального телефонного номера неустановленного лица. Аналогичные переводы согласно, полученных сведений из банковского учреждения и компании сотовой связи осуществляются по лицевым счетам гр. Е. в течение одного месяца, мобильный телефон используется для общения в социальных сетях и загрузки развлекательных приложений, постоянно подключенк сети Internet [3].Способ совершения хищения приведен на схематичном рисунке2..
Причинами совершения данного вида преступлений является компьютерная неграмотность пользователей высокотехнологичных устройств, отсутствие антивирусных программ на мобильных устройствах, недостатки организационного и правового регулирования активно развивающейся отрасли безналичных переводов денежных средств. Последняя предоставляет возможность перевода без надежной идентификации плательщика и получателя средств. Участники рынка, получая значительную прибыль, не заинтересованы к ограничению возможностей беспрепятственного перевода денежных средств, пока этого не будет принято на законодательном уровне. Необходимо принятие законодательных мер, которые станут профилактическими в сфере предупреждения подобных преступлений, а попустительство и промедление, повлечет неконтролируемое увеличение количества этого вида преступлений в 2016, 2017 и последующих годах.
В ходе расследования данной категории уголовных дел возникает необходимость привлечения специалиста сведущего в области компьютерной техники,как для производства осмотров,так и для производства компьютернотехнической экспертизы. Врамках последнейпроводится программнокомпьютерное исследование в целях установления наличия программного обеспечения, позволяющего получить незаконный доступ к информации, хранящейся на мобильном устройстве, структуры вредоносной программы, алгоритмов ее работы, способов и инструментов синхронизации программы и ее управлением с сервера, возможностях осуществления контроля работы программы для установления поступающей информации об адресатах, которым должны быть переведены денежные средства, IP –адреса управляющего сервера, источника внедрения вредоносного программного средства.
Однако в настоящее время специализация и экспертные методики, утвержденные в МВД России, не в полном объеме позволяют ведомственным экспертам установить обстоятельства подлежащие доказыванию при программнокомпьютерном исследовании, как правило, возможности ограничиваются описанием технических средств компьютерной системы и информации, находящейся на магнитных и оптических носителях, выявления вредоносных программ, классифицируемых антивирусным программным обеспечением. Установить способ заражения мобильных устройстввредоносной программой, алгоритм действия такой программы, механизм управление ею, схожесть вредоносных программных средств, не представляется возможным.
Отсутствие экспертных методик и технических возможностей не позволяет своевременно провести следственные и оперативнорозыскные мероприятия, направленные на установление местонахождения лиц, совершающих преступление и пресечь их преступные действия, а классифицировать вирусное программное средствовозможно лишь используя антивирусные программы сторонних разработчиков. Таким образом, проведение полной экспертизы вредоносного программного средства возможно лишь в сторонних учреждениях, не входящих в систему МВД России.
При назначении компьютернотехнических экспертиз, в части программнокомпьютерного исследования зараженных мобильных устройств,специалистуэксперту при наличии достаточной квалификации и программного обеспечения для производства экспертного исследования, важно датьответы на следующие вопросы:
1. Какие функции имеет программное средство, его классификация, из каких компонентов оно состоит?
2. Имеются ли в программном средстве функции, которые влекут уничтожение, блокирование, модификацию, копирование информации?
3. Каков состав программного средства, каковы их параметры (объемы, даты создания, атрибуты)?
4. Имеются ли в программном средстве функции, предназначенные для отправки СМСсообщений, совершения телефонных вызовов, выхода в сеть Internet, без ведома пользователя?
5. Какой алгоритм работы программного средства?
6. Какие абонентские номера, IPадреса, Internetресурсы и иные реквизиты оно использует для осуществления указанных функций?
В завершении хотелось бы отметить, чторасследованиепреступлений совершаемых с помощью вредоносный приложений для мобильных устройствна сегодняшний день остается достаточно сложной задачей для большинства сотрудников органов предварительного расследования, что обусловлено спецификой данного рода преступлений: трудностями с обобщением материалов следственной и судебной практики; отсутствием методических рекомендаций,как по организации расследования преступных деяний, так и по тактике производства следственных действий.
Ссылки на источники1.Подробнее о тенденциях развития киберугроз во втором квартале 2015 годусмотрим ваналитическомотчете«ЛабораторииКасперского»https://securelist.ru/analysis/malwarequarterly/26385/razvitieinformacionnyxugrozvovtoromkvartale2015goda/.2. Пример из практики деятельностиМВД по Республике Карелия за 2015 год.3. Пример, из практики деятельности следственного отдела МО МВД России «Варгашинский» УМВД России по Курганской области за 2016 г.
