Haremos uso de la herramienta ALEAPP para la resolución de este laboratorio.

---

Escenario

We're currently in the midst of a murder investigation, and we've obtained the victim's phone as a key piece of evidence. After conducting interviews with witnesses and those in the victim's inner circle, your objective is to meticulously analyze the information we've gathered and diligently trace the evidence to piece together the sequence of events leading up to the incident.

Tras descargar y descomprimir el archivo .zip encontramos la siguiente estructura de directorios.

---

Podemos ver que es el sistema de archivos de un dispositivo Android, pero no vamos a ir carpeta por carpeta buscando la información que necesitamos, al menos no en este caso... y aquí es donde entra en juego ALEAPP.

Con la herramienta ALEAPP podemos importar la carpeta data completa y a través de una serie de plugins analizará toda la información y generará un reporte muy completo y sobretodo muy visual.

Abriremos la herramienta, que en mi caso usaré la herramienta con GUI para hacerlo más visual e importamos la carpeta, seleccionamos los plugins que queremos para analizar y la carpeta de salida donde se almacenará toda la información analizada.

Marcaremos todos los plugins, ya que no sabemos que nos vamos a encontrar y mejor que analice todo por completo.

Una vez todo configurado solo debemos hacer click sobre el botón process y automáticamente se nos abrirá el reporte generado.

---

Question 1

Q1: Based on the accounts of the witnesses and individuals close to the victim, it has become clear that the victim was interested in trading. This has led him to invest all of his money and acquire debt. Can you identify which trading application the victim primarily used on his phone?

Debemos identificar la aplicación de trading que utilizaba la víctima en su dispositivo.

Para ello simplemente debemos navegar un poco por el reporte y veremos que hay un apartado llamado INSTALLED APPS.

Dentro de este apartado veremos Installed Apps (GMS), que GMS es básicamente los Servicios de Google para Móviles.

---

Question 2

Q2: According to the testimony of the victim's best friend, he said, "While we were together, my friend got several calls he avoided. He said he owed the caller a lot of money but couldn't repay now". How much does the victim owe this person?

Debemos descubrir qué cantidad de dinero debía la víctima a la otra persona, la cuál le llamaba por teléfono constantemente.

De nuevo volvemos a reporte y buscando un poco por encima veremos que hay un apartado donde se registran los logs de llamadas telefónicas.

Podemos ver que el número telefónico +201172137258 realiza muchas llamadas al número de la víctima pero que no fueron contestadas, por lo que podríamos revisar el registro de SMS por si hubiera dejado algún mensaje.

It's time for you to pay back the money you owe me, but you're not picking up my calls. You better think twice about not paying, because it won't end well for you. Prepare the sum of ***,*** EGP, and I'll expect your call within an hour at most.

---

Question 3

Q3: What is the name of the person to whom the victim owes money?

Tenemos el número de teléfono de la persona que llamaba constantemente para reclamar su dinero a la víctima, pero debemos averiguar su nombre completo... por lo que podríamos buscar en los contactos filtrando por el número de teléfono.

---

Question 4

Q4: Based on the statement from the victim's family, they said that on September 20, 2023, he departed from his residence without informing anyone of his destination. Where was the victim located at that moment?

Hay que averiguar donde se encontraba ubicada la víctima el 20 de Septiembre del 2023, y para ello tenemos un apartado de actividad reciente en el reporte.

Podemos ver que hizo uso de la aplicación discord, maps y chrome.

Pero al usar la aplicación de maps podemos ver su ubicación exacta en esa misma fecha..

---

Question 5

Q5: The detective continued his investigation by questioning the hotel lobby. She informed him that the victim had reserved the room for 10 days and had a flight scheduled thereafter. The investigator believes that the victim may have stored his ticket information on his phone. Look for where the victim intended to travel.

La víctima había sacado un billete de avión para marcharse pero debemos averiguar a donde iba ese avión...

Es probable que la víctima haya descargado su billete por lo que solo debemos dirigirnos a la siguiente ruta.

data\media\0\Download

---

Question 6

Q6: After examining the victim's Discord conversations, we discovered he had arranged to meet a friend at a specific location. Can you determine where this meeting was supposed to occur?

La víctima se comunicaba con un amigo a través de la aplicación discord, y la víctima pensaba reunirse con su amigo en una ubicación en concreto, y debemos averiguarla.

ALEAPP tiene un plugin para analizar discord, por lo que no nos costará demasiado encontrar en el reporte la información que necesitamos.

---

Recomendaciones

Recomiendo que no os limitéis solo a resolver las preguntas y que investiguéis un poco toda la información que os arroja el reporte tras el análisis.

Además de eso os recomiendo que realicéis una extracción del sistema de archivos de vuestro dispositivo y lo analicéis con la herramienta, que además está disponible para dispositivos iOS bajo el nombre de iLEAPP.