Curiosidades De Hackers
CSIRTDFIRForense Digital

Reconstrucción de un posible homicidio mediante correlación de artefactos Android con ALEAPP

CuriosidadesDeHackers

Introducción

Los dispositivos móviles han pasado de ser simples medios de comunicación a convertirse en auténticos repositorios de información contextual sobre la vida de sus propietarios. Aplicaciones de mensajería, plataformas financieras, servicios de geolocalización y redes sociales almacenan diariamente una enorme cantidad de datos capaces de reconstruir con precisión la actividad de un usuario.

En este análisis se aborda la investigación forense de un terminal Android perteneciente a una víctima relacionada con un caso de homicidio. A partir de una extracción completa del sistema de archivos del dispositivo y de los testimonios obtenidos durante la investigación, el objetivo consiste en reconstruir las últimas acciones realizadas por la víctima, identificar posibles conflictos económicos y determinar sus movimientos previos a la desaparición.

Para ello se empleó ALEAPP (Android Logs, Events and Protobuf Parser), herramienta ampliamente utilizada en investigaciones de Mobile DFIR, complementando sus resultados mediante la correlación manual de diversos artefactos.

Metodología de análisis

La extracción proporcionada contenía un sistema de archivos Android completo, el cual fue procesado mediante ALEAPP 3.7.0.

El análisis se realizó cargando el directorio extraído y generando un informe HTML con la totalidad de módulos disponibles.

Figura 1. Configuración de ALEAPP para el procesamiento de la evidencia

Esta primera fase permite automatizar la recuperación de numerosos artefactos asociados a:

  • Aplicaciones instaladas
  • Bases de datos SQLite
  • SMS y MMS
  • Contactos
  • Historial de actividad reciente
  • Chats de Discord
  • Datos de Google Maps
  • Metadatos del almacenamiento emulado

Identificación de la aplicación de inversión utilizada por la víctima

Diversos testimonios indicaban que la víctima mantenía una fuerte implicación en actividades de inversión y que había llegado a endeudarse considerablemente.

Partiendo de esta hipótesis, se examinó el apartado Installed Applications generado por ALEAPP.

Entre las aplicaciones identificadas únicamente una presentaba relación con plataformas de trading.

Bundle ID

com.ticno.olymptrade

Además del identificador de paquete, ALEAPP recuperó el hash SHA256 correspondiente al binario instalado.

4f168a772350f283a1c49e78c1548d7c2c6c05106d8b9feb825fdc3466e9df3c

La presencia de este artefacto permite confirmar el uso de Olymp Trade por parte de la víctima y proporciona un indicador verificable de integridad de la aplicación instalada.

Figura 2. Aplicación Olymp Trade identificada junto con su hash SHA256

Análisis de comunicaciones SMS y descubrimiento de una deuda pendiente

Uno de los amigos de la víctima declaró que ésta había recibido varias llamadas que decidió ignorar mientras se encontraban juntos.

Considerando que un acreedor podría haber recurrido a otros canales de comunicación, se revisó el artefacto SMS messages recuperado por ALEAPP.

Entre los mensajes almacenados destacó una conversación procedente del número:

+201172137258

El contenido del mensaje resulta especialmente relevante.

«It’s time for you to pay back the money you owe me…»

En él se exige el pago de una deuda de:

250.000 EGP

Asimismo, el remitente advierte sobre posibles consecuencias en caso de no efectuar el pago en el plazo de una hora.

Esta evidencia introduce un posible móvil económico dentro de la investigación y permite establecer una línea temporal de presión financiera ejercida sobre la víctima.

Figura 3. Mensaje SMS reclamando el pago de 250.000 libras egipcias

Correlación con la agenda de contactos

El siguiente paso consistió en atribuir la titularidad del número telefónico involucrado.

Mediante el análisis de la base de datos de contactos extraída por ALEAPP fue posible localizar una entrada coincidente.

Número:

+201172137258

Nombre asociado:

Shady Wahab

La correlación entre el SMS amenazante y la agenda del dispositivo permite asociar directamente la deuda pendiente con una identidad concreta.

Figura 4. Contacto asociado al número reclamando la deuda

Geolocalización de la víctima mediante artefactos de Google Maps

Según la familia, la víctima abandonó su domicilio el 20 de septiembre de 2023 sin informar acerca de su destino.

El análisis del artefacto Recent Activity reveló una entrada correspondiente a la aplicación Google Maps.

Última actividad registrada:

2023-09-20 23:50:29

Además, ALEAPP recuperó una instantánea de la interfaz de Google Maps almacenada por Android dentro de las tareas recientes.

La captura muestra claramente un marcador situado en:

The Nile Ritz-Carlton
Cairo

La existencia simultánea de un timestamp y de una representación visual de la ubicación otorga una elevada confianza a esta evidencia.

Figura 5. Instantánea de Google Maps mostrando The Nile Ritz-Carlton

Conversaciones de Discord y planificación de un encuentro

Finalmente se analizaron los chats de Discord recuperados por ALEAPP.

En una conversación mantenida con el usuario rob1ns0n se observó el siguiente intercambio:

«I’ve booked my travel ticket for 01/10 at 9:00 AM»

La respuesta obtenida resulta especialmente significativa.

We’ll meet at The Mob Museum

The Mob Museum se encuentra ubicado en Las Vegas, Nevada, permitiendo inferir no solo el destino previsto por la víctima sino también el lugar exacto donde debía reunirse con otra persona.

Esta evidencia aporta contexto sobre los movimientos internacionales planeados por la víctima y abre nuevas líneas de investigación relacionadas con el individuo identificado como rob1ns0n.

Figura 6. Conversación de Discord acordando una reunión en The Mob Museum

Conclusiones

La investigación demuestra cómo un único dispositivo Android puede proporcionar suficiente contexto para reconstruir parcialmente la cronología de un posible homicidio.

La correlación de aplicaciones instaladas, mensajes SMS, bases de datos de contactos, artefactos de Google Maps y conversaciones de Discord permitió determinar:

  • La plataforma financiera utilizada por la víctima.
  • La existencia de una deuda pendiente de 250.000 EGP.
  • La identidad del acreedor.
  • La última ubicación conocida antes de desaparecer.
  • El destino internacional previsto.
  • El lugar exacto donde se había programado un encuentro.

Más allá de recuperar archivos eliminados, la informática forense móvil moderna consiste en transformar artefactos aparentemente inconexos en una narrativa coherente de los hechos, permitiendo reconstruir con precisión las acciones realizadas por un usuario en las horas previas a un incidente.


También te puede gustar

Exterro FTK Imager: Herramienta Esencial para Forense Digital y Respuesta a Incidentes

CuriosidadesDeHackers

DeepBlueCLI en DFIR y CSIRT: el poder del análisis forense en Windows Logs

CuriosidadesDeHackers

Análisis forense de la explotación de CVE-2024-21320: abuso de Windows Themes para captura de NTLM, acceso remoto y persistencia

CuriosidadesDeHackers

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *