Виявлення слідів шкідливого програмного забезпечення за допомогою MOBILedit Forensic Pro та оцінка можливості передачі повідомлень без участі користувача: практичний кейс з аналізу складного цифрового середовища
Експерти Відділу комп’ютерно-технічних та телекомунікаційних досліджень Науково-дослідного центру незалежних судових експертиз Міністерства юстиції України провели складне технічне дослідження мобільного пристрою, вилученого в рамках кримінального провадження за фактом вчинення державної зради (ч. 2 ст. 111 КК України).
Зазначимо, що цей пристрій вже був об’єктом попереднього дослідження в іншій експертній установі. Проте через складність цифрового середовища та відсутність поглибленого аналізу потенційно шкідливих компонентів, раніше поставлені запитання були розглянуті не в повному обсязі.
У межах наданої експертизи перед експертами Центру було сформульовано розширене коло технічно складних завдань, зокрема:
виявлення наявності або залишкових слідів шкідливого програмного забезпечення, включаючи програми з ознаками прихованого доступу (бекдору);
оцінка можливості створення або передачі повідомлень без участі користувача;
аналіз цифрових артефактів, які могли б свідчити про зовнішнє втручання або дистанційний контроль над пристроєм (сесії, IP-адреси, системні журнали, мережеві підключення).
У процесі дослідження експерти використали сучасне програмне забезпечення MOBILedit Forensic Pro, яке дозволило здійснити повне логічне вилучення даних з мобільного пристрою з доступом до системної інформації, службових каталогів та структурованої частини файлової системи.
Для поведінкового тестування підозрілих компонентів застосовано Cape Sandbox 2, що дозволило визначити та змоделювати функціонування потенційно шкідливих APK-файлів у статичному середовищі. Крім того, аналіз окремих програмних елементів проводився в ізольованому динамічному середовищі Zenbox Android, що унеможливлювало зовнішній вплив та забезпечувало об’єктивність дослідження.
За результатами експертизи було обґрунтовано встановлено, що мобільний пристрій дійсно містив ознаки активності, характерні для шкідливого програмного забезпечення: розширені системні дозволи, фонову активність, підключення до мережевих ресурсів. Однак у ході поглибленого аналізу з’ясовано, що виявлений компонент не є шкідливим у класичному розумінні, а належить до попередньо встановленого програмного забезпечення, що виконує сервісні функції та має архітектурні особливості, які можуть випадково розцінюватися як такі, що становлять потенційні ризики.
