Análisis Forense - Extracción de datos desde un dispositivo móvil Android para análisis lógico.

En esta ocasión para extraer información de un android mobile device como CallLog, Contacts, MMS, MMSParts y SMS utilice AFLogical OSE, este al ser una apk si vamos a su AndroidManifest.xml

AndroidManifest AFLogical OSE Apk

Veremos como Android permission.

READ_PHONE_STATE: Permite el acceso de sólo lectura del estado del mobile, incluyendo el número de teléfono del dispositivo, la información actual de la red, el estado de las llamadas en curso, y una lista de cualquier PhoneAccounts registrados en el dispositivo, en esta apk al estar el minSdkVersion=”3” el sistema otorga implícitamente su aplicación para este permiso.

READ_CONTACTS: Permite que la aplicación pueda leer los datos de los contactos del usuario.

READ_SMS: Permite que la aplicación pueda leer los mensajes SMS.

Básicamente estos permisos más la aplicación en si permitirán la extracción de datos una vez que la apk este ya en el device, por otra parte, utilice Android Debug Bridge que tiene dependencia de ai32-libs y por temas de arquitectura hay que realizar algunos retoques en el sistema como configurar la arquitectura e instalar unas libs.

dpkg --add-architecture i386
sudo apt-get install lib32z1
sudo apt-get install lib32ncurses5

Edito el sources.list

# old package i386
deb http://old-releases.ubuntu.com/ubuntu/ raring main restricted universe multiverse

Doy un apt-get update y resuelvo las siguientes dependencias.

ia32-libao4:i386
libgd2-xpm:i386
libjpeg-turbo8:i386
libjpeg8:i386
libgd2-xpm:i386
librcc0:i386
libtag1-rusxmms:i386
libtag1c2a:i386
gstreamer0.10-plugins-good:i386
install ia32-libs-multiarch:i386
install libgphoto2-2:i386

Finalmente apt-get install ia32-libs y remuevo el deb old-releases del sources.list Accedo al adb y listo los devices que tengo conectados al sistema en modo desarrollador ./adb devices

./adb devices

Y trabajo con el devices  ./adb –s [serie]

./adb -s

Puedo mover/push el apk al device e instalar.

./adb push '/root/Escritorio/AFLogical-OSE_1.5.2.apk' /sdcard/
203 KB/s (28794 bytes in 0.138s)

O instalar directo el apk.

./adb install '/root/Escritorio/AFLogical-OSE_1.5.2.apk'

./adb install

Voy al dispositivo y realizo el backup.

Vuelvo a la terminal y creo una carpeta para extraer el backup del device.

mkdir /root/Escritorio/AFlogical

Para asegurarme vía shell ingreso al devices ./adb Shell y reviso el backup.

./adb shell

Al verificar, hago un pull del backup.

./adb pull /sdcard/forensics/ /root/Escritorio/AFlogical_Backup/

./adb pull

Y visualizo la extracción de datos.

Resultado de AFLogical OSE.

Hasta la próxima publicación. 😉