УДК 343.985.7 ББК 67.52я73
КРИМИНАЛИСТИЧЕСКИЙ АНАЛИЗ ПРЕСТУПЛЕНИЙ, СОВЕРШЕННЫХ С ИСПОЛЬЗОВАНИЕМ ВРЕДОНОСНЫХ ПРОГРАММ
На примере мобильной платформы Google Android
Антон Владимирович МАНУКЯН, аспирант Балтийского федерального университета имени И. Канта E-mail: i89527963826@gmail.com
Научная специальность: 12.00.09 — уголовный процесс
Аннотация. В работе дана общая характеристика совершения преступлений с использованием вредоносных программ для операционной системы Android. Приведены понятие и способы фиксации виртуальных следов.
Ключевые слова: Android, преступление, вирус, виртуальные следы, расследование.
Annotation. In the work of the general characteristics of committing crimes involving malicious software for the operating system Android. The concept and methods of fixing the virtual tracks.
Key words: Android, crime, malware, virtual tracks, investigation.
Научный руководитель — Т.С. Волчецкая, заведующая кафедрой уголовного процесса, криминалистики и правовой информатики БФУ имени И. Канта, доктор юридических наук, профессор
Рецензент — Д.А. Барыкин, доцент кафедры общеправовых дисциплин Калининградского
филиала Санкт-Петербургского университета МВД России, кандидат юридических наук
Уже невозможно представить себе современного человека, который бы не пользовался мобильным телефоном, кредитной (банковской) картой, не имел аккаунт электронной почты или социальной сети, и количество пользователей этими услугами увеличивается с каждым годом. Однако развитие современных технологий и Интернета породило новые способы, объекты и средства совершения преступлений. В качестве средства совершения преступления используются компьютеры и иные электронные устройства (нетбуки, смартфоны, планшеты и проч.).
Согласно данным статистики МВД России, количество зарегистрированных преступлений в сфере компьютерной информации составило: в 2004 г. - 8739, в 2005 г. - 10 214, в 2006 г. -8889, в 2007 г. - 7236, в 2008 г. - 9010, в 2009 г. -
11636, в 2010 г. - 7398, в 2011 г. - 2698, в 2012 г. -2820, в 2013 г. - 2563, 2014 г. - 1739, а за январь 2015 г. - 1341.
5 ноября 2007 г. компания Google Inc. представила открытую мобильную платформу Android2. Android - операционная система для смартфонов, планшетов и нетбуков.
23 сентября 2008 г. было анонсировано первое в мире устройство, работающее под управлением ОС Android, - HTC Dream3.
3 сентября 2013 г. было активировано более 1 млрд устройств под управлением ОС Android4. По состоянию на четвертый квартал 2013 г., доля ОС Android на рынке мобильных устройств составляет 80%, т.е. в мире восемь смартфонов из десяти работают под управлением ОС Android5.
Мобильным вирусом является вредоносное программное обеспечение, целью которого выс-
ЗАКОН И ПРАВО • 04-2015
тупает попадание на мобильное устройство (смартфон, планшетный компьютер, нетбук) и приведение мобильной системы к краху, потере или утечке конфиденциальной информации.
Первые сообщения о вирусах для ОС Android появились в августе 2010 г., это был SMS-троян, который отправлял SMS-сообщения на платные номера без ведома пользователя устройства.
В декабре 2010 г. был обнаружен первый вирус для ОС Android, обладающий защитой от анализа, который был способен внедряться в другие приложения, установленные на устройстве, не влияя на функциональность последних. Имя вируса Geinemi, вирус действовал по следующему алгоритму: после запуска зараженного приложения создавался фоновый сервис, который собирал персональные данные: координаты устройства, номера IMEI и IMSI. Затем с интервалом в одну минуту он пытался связаться с одним из десяти удаленных серверов (www.widifu.com, www.udaore.com, www.frijd.comH др.), куда передавалась вся собранная информация и где собирались команды для удаленного исполнения6.
По состоянию на март 2013 г. экспертами компании Juniper Networks было насчитано примерно 300 000 вредоносных приложений, созданных для ОС Android7. Количество вирусов для Android за 2012 — 2013 гг. выросло на 600%.
Информационная безопасность ОС Android стала вызывать серьезную озабоченность не только у правоохранительных органов различных государств (например, у Федерального бюро расследований США), но и у представителей политики и бизнеса8. Подтверждением этого является проведение 23—24 мая 2013 г. 3-го Международного форума по практической безопасности, организованного компанией Technologies. На форуме в течение двух дней эксперты с мировым именем показывали, как взламывают устройства под управлением Android, как похищают деньги с кредитных карт, как взламывают системы автоматизации производства и рабочего места, сотовые сети, как атакуют сайты электронного правительства, а также, как защитить-
ся от всего этого
Общая схема совершения преступления с использованием вируса для ОС Android может состоять из нескольких этапов. Каждый этап имеет различную продолжительность во времени, свой специфический состав и характеризуется различным кругом исполнителей, а также разной географией.
Рассмотрим данные этапы.
Первый этап Создание вируса для ОС Android
Для написания простого вируса для ОС Android субъект не должен обладать специальными познаниями в области программирования, сейчас в сети Интернет существуют специальные конструкторы для создания собственных вирусов для O C Android, и с этой задачей может справиться даже начинающий пользователь.
Субъект также может получить вирус иными способами: заказать изготовление, найти и скачать в сети Интернет.
После того как субъект изготовит или получит вирус, возникает необходимость проверки его на пригодность для выполнения поставленных целей.
При этом следует отметить, что при создании или приобретении вируса для ОС Android субъект оставляет виртуальные
следы.
В.А. Мещеряков под виртуальными следами понимает «любое изменение состояния автоматизированной информационной системы, связанное с событием преступления и зафиксированное в виде компьютерной информации. Данные следы занимают условно промежуточную позицию между материальными и идеальными следами»10.
Можно выделить следующие виды виртуальных следов:
1. Следы на жестком диске или сетевом накопителе (внешний жесткий диск, флеш-нако-питель).
2. Следы в оперативной памяти запоминающего устройства.
3. Следы оперативной памяти периферийных устройств.
4. Следы в сетях связи.
ЗАКОН И ПРАВО • 04-2015
5. Следы в виртуальной среде (удаленный ПК, сервер).
Фиксацию виртуальных следов можно выполнять в следующем порядке:
1. Внести в протокол следственных действий следующую информацию: устройство, в котором обнаружены виртуальные следы; собственник (пользователь) устройства; оборудовано ли устройство выходом в глобальную сеть Интернет; операционная система (-ы), установленная (-ые) на данном устройстве; адрес к корню процесса (файла), в котором обнаружено несанкционированное вмешательство. К проведению следственных действий необходимо привлекать специалиста в области информационных технологий (информационной безопасности).
2. Произвести фото / видеосъемку, на которой следует зафиксировать выведенную информацию об именных файлах.
3. Изъять объект исследования (при этом если объект исследования обладает возможностью автономной работы без электрической сети, его следует предварительно перевести в «спящий» или «ждущий» режим, после чего обесточить и изъять, чтобы виртуальные следы в оперативной памяти устройства не были потеряны).
Второй этап
Распространение вирусов для ОС Android
После проверки вируса на работоспособность субъект переходит к его распространению. Для распространения вирусов субъект использует следующие приемы:
■ создает в сети Интернет пост (сообщение на форуме) о том, что вышла интересная программа для устройств под ОС Android и эту программу можно скачать по ссылке;
■ SMS-рассылку на мобильные номера сообщения с текстом ссылки на приложение;
■ E-mail рассылку с текстом ссылки на приложение;
■ внедрение вредоносного кода в существу-
ющее популярное приложение и распространение модифицированного приложения через сторонние сайты в сети Интернет;
■ регистрирует в официальном магазине Google Play Market11 приложение с внедренным в него вредоносным кодом (для этого необходимы профессиональные навыки программирования у субъекта).
Третий этап Получение выгоды от использования вируса для ОС Android
Выгода от распространения вирусов заключается в получении:
■ денежных средств;
■ конфиденциальной информации (например, вирус Superclean12 умеет записывать разговоры пользователя устройства и отсылать их владельцу вируса);
■ информации о географическом нахождении владельца устройства;
■ информации о банковских счетах пользователя устройства, содержимом памяти мобильного устройства.
При расследовании необходимо учитывать глубокую связь между операционной системой Android и аккаунтом Google. Многие функции смартфона, такие, как: контакты, календари, почта, браузер, пароли, связаны с аккаунтом в системе Google. Пользователю устройства необходимо зарегистрироваться в Google для того, чтобы скачать приложение, синхронизировать фотографии и пользоваться всем функционалом устройства.
В связи с этим следует иметь в виду, что компания Google Inc. предоставляет необходимые персональные данные пользователей по официальным запросам правоохранительных органов в соответствии с местным законодательством страны.
Расследуя данный вид преступления, необходимо руководствоваться логическим и физическим методами. Надо учитывать, что устройство под управлением ОС Android обладает как физической, так и оперативной памятью, и любые необдуманные действия могут привести к потере важных исходных данных. Исходя из этого при расследовании необходимо руководствоваться следующими правилами:
■ никакие действия со стороны правоохранительных органов не должны привести к потере данных на мобильном устройстве;
■ специалист, исследующий мобильное устройство, должен быть компетентным и в состоянии объяснить свои действия;
■ следует отключить все модули связи на устройстве (для исключения вмешательства извне);
■ нужно взять кабель для зар
Для дальнейшего прочтения статьи необходимо приобрести полный текст. Статьи высылаются в формате PDF на указанную при оплате почту. Время доставки составляет менее 10 минут. Стоимость одной статьи — 150 рублей.