Oxygen Forensic

Oxygen Forensic Detective utilise le déploiement d'un agent comme méthode d'acquisition spécialisée pour extraire des données d'appareils mobiles, en particulier lorsqu'il s'agit d'appareils verrouillés, chiffrés ou autrement inaccessibles. Le processus consiste à déployer un agent logiciel léger sur l'appareil cible, qui interagit avec le système d'exploitation pour contourner les mesures de sécurité telles que les verrous d'écran ou le chiffrement. Une fois installé, l'agent extrait une large gamme de données, y compris les historiques d'appels, les messages, les données d'applications, et même les fichiers cachés ou supprimés.

Analyser l'agent à l'aide d'IDA Pro :

L'un des principaux composants identifiés est la classe ThirdPartyDataBridgeBase, qui semble jouer un rôle central dans la gestion de l'extraction des données.

Nous avons également une classe interne, DataAcquisitionStatus, qui gère différents statuts liés au processus d’acquisition des données.

• DATA_ACQUISITION_STARTED → L'acquisition a commencé

• DATA_ACQUISITION_SUCCESS → L'acquisition a réussi

• DATA_ACQUISITION_ERROR → Une erreur s'est produite

• DATA_ACQUISITION_NOT_STARTED → L'acquisition n'a pas commencé

L'image montre des chaînes de caractères extraites de l'APK ForensicAgent, Plusieurs de ces chaînes contiennent le terme "Acquisition", suivi de différents services ou plateformes de messagerie, tels que :

• Line

• Telegram

• Viber

• Wickr

• Zoom

• Discord

• Signal

• Twitter

• WhatsApp

Ces éléments laissent penser que cet agent forensic est capable de surveiller, collecter et potentiellement exfiltrer des données sensibles depuis des applications de communication populaires.

Voici un exemple d'une fonction d'acquisition intégrée dans l'APK ForensicAgent, spécifiquement conçue pour l'application Discord. L’analyse du code révèle plusieurs fonctions liées à l'extraction de données :

• Extraction des informations utilisateur (parseDiscordLang, saveAvatar, saveUserInfo)

• Récupération des listes et scénarios d'affichage (IterateByViewListScenario)

• Acquisition des données de discussion et de contacts (DiscordAcquisitionPageBinding_chatsText, chatsImg, contactsHeader, contactsSettingsLayout)

• Collecte des tables de données (Fetcher_getChannelsTable, Fetcher_getContactsTable)

un autre exemple d'une fonction d'acquisition intégrée dans l'APK ForensicAgent, spécifiquement conçue pour l'application WhatsApp. L’analyse du code révèle plusieurs fonctions liées à l'extraction de données :

• Acquisition des appels

  • WhatsAppAcquisitionPageBinding_callTimeFilterBar

  • WhatsAppAcquisitionPageBinding_callTimeFilterText

  • WhatsAppAcquisitionPageBinding_callsImg

  • WhatsAppAcquisitionPageBinding_callsSettingsLayout

  • WhatsAppAcquisitionPageBinding_callsText

• Acquisition des discussions

  • WhatsAppAcquisitionPageBinding_chatsImg

  • WhatsAppAcquisitionPageBinding_chatsSettingsLayout

  • WhatsAppAcquisitionPageBinding_chatsText

• Acquisition des contacts

  • WhatsAppAcquisitionPageBinding_contactsImg

  • WhatsAppAcquisitionPageBinding_contactsSettingsLayout

  • WhatsAppAcquisitionPageBinding_contactsText