Comparative Analysis of Digital Forensics Methods on Android Devices

Öz

With the increasing use of Android devices, forensic investigations have become crucial in uncovering cybercrimes involving mobile malware. Android devices, as one of the mobile device types, can be easily exploited due to weaknesses in the Android operating system and security vulnerabilities in the application store. While existing studies primarily focus on malware detection using machine learning models, there is a gap in the literature regarding the effectiveness of examination tools in analyzing harmful applications. This study evaluates forensic methods used to extract and analyze digital evidence from compromised Android devices. We compare manual inspection, logical imaging, and physical imaging in retrieving nine key evidentiary features. Our findings indicate that while manual and logical imaging recovered 55.56% of these indicators, physical imaging offered broader access (66.67%), particularly facilitating the recovery of deleted data and data from unallocated space. Using the Magnet AXIOM tool and manual analysis methods, we conducted static and dynamic analyses of malicious softwares. The results demonstrate the utility of specialized analysis tools in both identifying malicious activity and recovering critical information, offering guidance to practitioners in choosing the most effective approach for Android-related casework.

Anahtar Kelimeler

• Mobile forensics
• Malware
• Cyber security

Android Cihazlar Üzerinde Adli Bilişim Yöntemlerinin Karşılaştırmalı Analizi

Öz

Android cihazların kullanımının artmasıyla birlikte, mobil kötü amaçlı yazılımlarla ilgili siber suçların ortaya çıkarılmasında adli bilişim incelemeleri büyük önem kazanmıştır. Android cihazlar, mobil cihaz türlerinden biri olarak, Android işletim sistemindeki zayıflıklar ve uygulama mağazasındaki güvenlik açıkları nedeniyle kolayca istismar edilebilmektedir. Mevcut çalışmaların çoğu, kötü amaçlı yazılım tespitine yönelik makine öğrenimi modellerine odaklanırken, zararlı uygulamaların analizinde kullanılan inceleme araçlarının etkinliğine dair literatürde bir boşluk bulunmaktadır. Bu çalışma, zararlı yazılımlarla enfekte olmuş Android cihazlardan dijital delil çıkarmak ve analiz etmek için kullanılan adli yöntemleri değerlendirmektedir. Dokuz temel delil özelliğini elde etme açısından manuel inceleme, mantıksal imaj ve fiziksel imaj yöntemleri karşılaştırılmıştır. Bulgularımız, manuel ve mantıksal imaj yöntemlerinin bu özelliklerin %55,56’sını geri kazandığını, fiziksel imaj yönteminin ise daha geniş erişim (%66,67) sağladığını ve özellikle silinmiş verilerin ve ayrılmamış alanlardaki verilerin kurtarılmasını kolaylaştırdığını göstermektedir. Magnet AXIOM aracı ve manuel analiz yöntemleri kullanılarak zararlı yazılımların statik ve dinamik analizleri gerçekleştirilmiştir. Sonuçlar, özel analiz araçlarının hem zararlı faaliyetlerin tespitinde hem de kritik bilgilerin kurtarılmasında değerli olduğunu ortaya koymakta ve Android ile ilgili adli bilişim incelemelerinde en etkili yaklaşımın seçilmesi konusunda çalışanlara rehberlik etmektedir.

Anahtar Kelimeler

• Mobil adli bilişim
• Kötü amaçlı yazılım
• Siber güvenlik

Kaynakça

1. Y. Korkmaz and A. Boyacı, “Audio analysis in terms of digital forensics,” Sci. Eng. J. Fırat Univ., vol. 30, no. 1, pp. 329–343, 2018.
2. C. Aliusta and R. Benzer, “The Council of Europe’s Convention on Cybercrime and Turkey’s inclusion process,” Int. J. Inf. Secur. E., vol. 4, no. 2, pp. 35–42, 2018.
3. H. Arshad, A. B. Jantan, and O. I. Abiodun, “Digital forensics: Review of issues in scientific validation of digital evidence,” J. Inf. Process. Syst., vol. 14, no. 2, pp. 346–376, 2018.
4. B. Önel and E. Irmak, “Computer forensics and examination of digital evidence on Windows operating system,” J. Polytech., vol. 24, no. 3, pp. 1187–1196, 2021.
5. J. N. D. Gupta, E. Kalaimannan, and S. M. Yoo, “A heuristic for maximizing investigation effectiveness of digital forensic cases involving multiple investigators,” Comput. Oper. Res., vol. 69, pp. 1–9, 2016.
6. A. Almuqren, H. Alsuwaelim, M. M. H. Rahman, and A. A. Ibrahim, “A systematic literature review on digital forensic investigation on Android devices,” Procedia Comput. Sci., vol. 235, pp. 1332–1352, 2024.
7. K. Gözde, A. Akhan, and Z. Abdül Halim, “Security in mobile devices—Threats and basic strategies,” Istanbul Commer. Univ. J. Sci., vol. 15, no. 30, pp. 55–75, 2016.
8. Y. Bal and N. Arıcı, “Mobile-based learning materials preparation,” J. Inf. Technol., vol. 4, no. 1, pp. 7–12, 2011.

9. K. D. Lutes and R. P. Mislan, “Challenges in mobile phone forensics,” in Proc. IICS IMETI, Florida, USA, vol. 1, pp. 348–352, 2008.
10. V. Rao and A. S., “Survey on Android forensic tools and methodologies,” Int. J. Comput. Appl., vol. 154, no. 8, pp. 17–21, 2016.
11. A. Adekotujo, A. Odumabo, A. Adedokun, and O. Aiyeniko, “A comparative study of operating systems: Case of Windows, UNIX, Linux, Mac, Android, and iOS,” Int. J. Comput. Appl., vol. 176, no. 39, pp. 16–23, 2020.
12. C. M. da Silveira et al., “Methodology for forensics data reconstruction on mobile devices with Android operating system applying in-system programming and combination firmware,” Appl. Sci., vol. 10, no. 12, 2020.
13. S. G. Punja and R. Mislan, “Mobile device analysis,” Small Scale Digit. Device Forensics, vol. 2, no. 1, pp. 1–16, 2008.
14. O. Osho and S. O. Ohida, “Comparative evaluation of mobile forensic tools,” Int. J. Inf. Technol. Comput. Sci., vol. 8, no. 1, pp. 74–83, 2016.
15. H. Abualola, H. Alhawai, M. Kadadha, H. Otrok, and A. Mourad, “An Android-based Trojan spyware to study the NotificationListener service vulnerability,” Procedia Comput. Sci., vol. 83, pp. 465–471, 2016.
16. P. Teufl, M. Ferk, A. Fitzek, D. Hein, S. Kraxberger, and C. Orthacker, “Malware detection by applying knowledge discovery processes to application metadata on the Android Market (Google Play),” Secur. Commun. Netw., vol. 9, pp. 389–419, 2016.
17. D. Kasiaras, T. Zafeiropoulos, N. Clarke, and G. Kambourakis, “Android forensic data analyzer (AFDA): An open-source tool to automatize event correlation analysis on Android devices,” Int. J. Inf. Secur. Res., vol. 4, no. 4, pp. 501–509, 2014.
18. M. C. Coşguner, “Implementing hybrid Android sandbox for malware analysis on Android platform,” M.S. thesis, Sakarya Univ., Inst. Nat. Sci., Sakarya, Türkiye, 2019.
19. F. Tong and Z. Yan, “A hybrid approach of mobile malware detection in Android,” J. Parallel Distrib. Comput., vol. 103, pp. 22–31, 2017.
20. S. Ullah et al., “The revolution and vision of explainable AI for Android malware detection and protection,” Internet Things, vol. 27, p. 101320, Aug. 2024.
21. F. Nawshin, R. Gad, D. Ünal, A. K. Al-Ali, and P. N. Suganthan, “Malware detection for mobile computing using secure and privacy-preserving machine learning approaches: A comprehensive survey,” Comput. Electr. Eng., vol. 117, 2024.
22. L. Li et al., “Static analysis of Android apps: A systematic literature review,” Inf. Softw. Technol., vol. 88, pp. 67–95, 2017.
23. E. Dushku, M. M. Rabbani, M. Conti, L. V. Mancini, and S. Ranise, “SARA: Secure asynchronous remote attestation for IoT systems,” IEEE Trans. Inf. Forensics Secur., vol. 15, pp. 3123–3136, 2020.
24. D. Samociuk, “Antivirus evasion methods in modern operating systems,” Appl. Sci., vol. 13, no. 8, 2023.
25. S. Raj and N. K. Walia, “A study on Metasploit framework: A pen-testing tool,” in Proc. Int. Conf. Comput. Perform. Eval. (ComPE), Meghalaya, India, Jul. 2–4, pp. 296–302, 2020.