Читаем Особенности киберпреступлений в России: инструменты нападения и защиты информации полностью

Программа устанавливается на телефон и функционирует в скрытом режиме, не задавая вопросов владельцу телефона и никак его, соответственно, не уведомляя о своих действиях. Программу такого типа самостоятельно владелец телефона обнаружить не в силах, для этого применяется специализированное программное обеспечение[48].

Для передачи заданной информации с мобильного телефона на удаленный сервер программа использует доступный интернет-канал связи, а для передачи объемных данных программа дожидается доступного Wi-Fi-доступа. Информация отсылается на сервер-накопитель через задаваемый злоумышленником период времени (рис. 2.22).

Рис. 2.22.Установленные в результате анализа IP-адреса

На сервере, которых может быть несколько, злоумышленниками, как правило, размещается веб-интерфейс, позволяющий осуществлять просмотр полученных данных, наблюдать статус программы-шпиона и посылать необходимые команды.

Некоторые разновидности таких вредоносных программ позволяют наблюдать и управлять программой с другого мобильного приложения, устанавливаемого на телефон злоумышленника. В таком случае обе программы обращаются к одному серверу.

Проводить исследование и экспертизу вредоносных программ для мобильных телефонов так же, как и для обычных компьютеров, вполне возможно. В процессе исследования устанавливается вся необходимая для расследования информация.

В качестве примера приводится анализ сетевого взаимодействия одной из разновидностей обсуждаемых программ, предназначенных для слежения за мобильным телефоном:

Время, прошедшее с момента запуска программы операция ресурс порт

1.156 открытие lga15s44-in-f9.1e100.net 443

4.195 открытие lga15s44-in-f9.1e100.net 443

11.195 открытие static-ip-188-138-125-230.inaddr.ip-pool.com 80

11.195 запись static-ip-188-138-125-230.inaddr.ip-pool.com 80

GET /audio/ HTTP/1.1 Host: 188.138.125.230 User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.9b5) Gecko/2008050509 Firefox/3.0b5 Accept: text/html Connection: close

12.200 чтение static-ip-188-138-125-230.inaddr.ip-pool.com 80

HTTP/1.1 403 Forbidden Server:

13.195 открытие 37.48.80.68 80

14.195 запись 37.48.80.68 80

GET /audio/ HTTP/1.1 Host: 37.48.80.68 User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.9b5) Gecko/2008050509 Firefox/3.0b5 Accept: text/ html Connection: close

14.195 открытие static-ip-188-138-125-230.inaddr.ip-pool.com 80

14.200 чтение 37.48.80.68 80

HTTP/1.1 200 OK Date: —18:32:17 GMT Server: Apache/2.4.17 (Unix) ОткрытиеSSL/1.0.1k PHP/5.4.42 Last-Modified: Fri, 30 Oct 2015 21:38:11 GMT ETag: "0-523593e80429e" Accept-Ranges: bytes Content-Length: 0 Connection: close Content-Type: text/html

15.194 запись static-ip-188-138-125-230.inaddr.ip-pool.com 80

GET /audio/ HTTP/1.1 Host: 188.138.125.230 User-Agent: Mozilla/5.0 (X11; U; Linux i686; ru; rv:1.9b5) Gecko/2008050509 Firefox/3.0b5 Accept: text/html Connection: close

16.200 чтение static-ip-188-138-125-230.inaddr.ip-pool.com 80

HTTP/1.1 403 Forbidden Server:

20.194 открытие static-ip-217-172-190-216.inaddr.ip-pool.com 80

21.194 открытие 217.172.190.216 80

22.194 запись 217.172.190.216 80

.

22.194 запись 217.172.190.216 80

22.194 запись 217.172.190.216 80

<.

22.194 запись 217.172.190.216 80

23.194 запись 217.172.190.216 80

<.

23.200 чтение 217.172.190.216 80