Mobile Forensics
Análise Forense Rápida (Português)
Análise Forense Rápida (Português)
  • Introdução
  • Preparações
    • Conhecimento
    • Segurança
    • Confiança
    • Backup
  • Metodologia
  • Verificação de computadores Windows
    • Revisão de programas abertos na inicialização
    • Revisar processos em execução
    • Revisar conexões de rede
    • Extrair dados para análise adicional
  • Verificação de computadores Mac
    • Revisar programas abertos na inicialização
    • Revisar processos em execução
    • Revisar extensões do kernel
    • Revisar conexões de rede
    • Revisar logs do XProtect
    • Extrair dados para análise adicional
  • Verificação de smartphones
    • Arquitetura do sistema do smartphone
    • Verificar dispositivos vinculados a aplicativos de bate-papo
    • Verificar mensagens suspeitas
    • Monitorar o tráfego de rede
    • Nota: Monitoramento do tráfego de rede no Linux
  • Verificação básica de dispositivos Android
    • Revisar aplicativos instalados
    • Verificar armazenamento
    • Verificar se o telefone utiliza o app Android Device Policy (Política de Dispositivo Android)
    • Verificar se foi feito root no telefone
    • Verificar se as opções do desenvolvedor estão ativadas
    • Analisar aplicativos
    • Extrair dados para análise adicional
    • Opcional: verificar se há indicadores de instalação de stalkerware
  • Verificação avançada de dispositivos Android
    • Wireshark
    • MVT
    • Outras ferramentas
  • Verificação de dispositivos iOS
    • Revisar contas do iCloud
    • Revisar aplicativos instalados
    • Verificar perfis de gerenciamento de dispositivos móveis
    • Verificar atalhos
    • Verificar Jailbreaks
    • Ativar e verificar o relatório de privacidade do aplicativo
    • Extrair dados para análise adicional
    • Analisando dados extraídos
    • Sobre o modo de Isolamento
  • Verificação de dispositivos remotamente
    • Computadores Mac
    • Android
  • Concluindo uma coleta de evidências forenses
  • Referências e aprendizado adicional
  • Licença e créditos
Powered by GitBook
On this page
  • Verifique se a instalação de fontes desconhecidas está autorizada
  • Verifique se o Google Play Protect está desabilitado
  • Verifique se o telefone foi "rooteado"
  1. Verificação básica de dispositivos Android

Opcional: verificar se há indicadores de instalação de stalkerware

PreviousExtrair dados para análise adicionalNextVerificação avançada de dispositivos Android

Last updated 4 months ago

Stalkerwares são aplicativos maliciosos usados ​​no contexto de violência de parceiros íntimos. Uma das diferenças com o malware Android clássico é que eles são instalados por meio de um acesso físico ao smartphone. Por isso, a instalação requer algumas alterações no sistema Android, que geralmente podem ser identificadas posteriormente.

Verifique se a instalação de fontes desconhecidas está autorizada

Os aplicativos stalkerware são instalados diretamente do arquivo do aplicativo (APK), que é proibido por padrão pelo Android. Para instalar o aplicativo, a pessoa precisa permitir a instalação de fontes desconhecidas.

Antes do Android 8 "Oreo", esse recurso era habilitado para todo o telefone. Se você tem um telefone anterior ao Android 8, vá para Configurações > Segurança e verifique se Fontes desconhecidas está habilitado.

Após o Android 8, esse recurso é habilitado por aplicativo. Vá para Configurações > Segurança > Instalar aplicativos desconhecidos ou , a depender da versao do Android, em Configurações > Segurança e Privacidade > Mais Segurança e Privacidade > Fontes de Instalação para ver a lista de aplicativos com permissão para instalar aplicativos não confiáveis.

Qualquer aplicativo com autorização de instalação de aplicações é suspeito, especialmente navegadores e gerenciadores de arquivos.

Verifique se o Google Play Protect está desabilitado

O Google Play Protect é uma detecção automatizada de aplicativos maliciosos desenvolvida e mantida pelo Google como parte do Google Play Services. Esse recurso geralmente precisa ser desabilitado durante a instalação de um aplicativo stalkerware porque ele pode detectar o aplicativo malicioso.

Para verificar essa configuração, você deve ir para Configurações > Segurança > Verificar dispositivos em busca de ameaças à segurança ou Configurações > Segurança > Google Play Protect ou Configurações > Segurança e Privacidade > Google Play Protect dependendo da sua versão do Android.

Em versões mais recentes, as telas para verificar o Play Protect pode se parecer com as seguintes:

Verifique se o telefone foi "rooteado"

Um aplicativo stalkerware geralmente requer um telefone rooteado para ter acesso a mais dados. Siga as recomendações para verificar se o telefone está com root.

desta outra parte do guia
Captura de Tela do Google Paly Protect em Android
Captura da Tela Fontes de Instalação do Android, mostrando div ersas aplicações e seus status.
Captura da Tela SEgurança de Apps do Android