Peritaje informático sobre análisis y detección de malware, virus o programas espías en teléfonos móviles de tipo iOS (Apple), Android o Windows Phone

Es muy frecuente que, en los tiempos que corren y debido a la masificación de los teléfonos inteligentes o smartphones, un cliente requiera a un perito informático la realización de una investigación forense para comprobar si en su teléfono existe algún tipo de malware informático, programa espía, keylogger o algún otro tipo de software malicioso. La ejecución de un análisis forense es un paso previo y absolutamente necesario para la realización de un peritaje informático y la presentación de una posible denuncia ante el Cuerpo Nacional de Policía o la Guardia Civil, siempre y cuando en el análisis forense se detecte la presencia de malware y pueda determinarse su procedencia.

La mejor forma que tiene el perito informático de enfrentarse a una posible infección de malware, virus o programas espías en un teléfono móvil o tableta es realizando un escáner de malware con la herramienta UFED Physical Analyzer de Cellebrite. Para ejecutar este escáner, es preciso, en primer lugar, realizar una extracción física o lógica de la evidencia utilizando la herramienta Cellebrite UFED Touch (es preferible la extracción física a la lógica, ya que la extracción física genera una imagen absolutamente clónica del estado del terminal en el momento de ejecución de la misma, incluyendo el sistema de archivos completo, pero llevar a cabo dicho tipo de extracción requiere de la alteración previa del terminal en forma de rooteo, por lo que sería preciso realizar ambas acciones ante notario –rooteo y extracción física-). En los terminales más modernos de tipo iOS (los cuales, en general, deben ser extraídos con la herramienta UFED Physical Analyzer en lugar de con la Cellebrite UFED Touch), aún no es posible realizar extracciones físicas, pero sí se pueden realizar extracciones lógicas avanzadas. Para la realización de este ejemplo, se ha realizado una extracción lógica (no física) de un terminal LG X150.

Una vez el perito informático ha realizado la extracción física, lógica o lógica avanzada de la evidencia, debe cargarla en el programa UFED Physical Analyzer, al objeto de que, sobre la misma, se ejecute el análisis de malware. A continuación, se muestra una captura de pantalla con la imagen forense  del terminal LG X150 cargada  (extracción lógica).

peritaje_informatico_virus_movil_1

Para la ejecución del análisis de malware es necesario navegar hacia el menú Herramientas, pinchar en la opción Escáner de malware y, posteriormente, en el botón Explorar malware. A continuación, se adjunta captura de pantalla correspondiente a la mencionada selección.

peritaje_informatico_virus_movil_2

Una vez seleccionado el botón Explorar malware, el análisis de malware comienza y se puede comprobar su progreso en la parte inferior izquierda de la pantalla. A continuación, se adjunta captura de pantalla de la instantánea tomada en el momento de la ejecución del análisis.

peritaje_informatico_virus_movil_3

Al finalizar el análisis, la herramienta UFED Physical Analyzer indicará si el dispositivo móvil analizado es portador de algún tipo de malware, programa espía, keylogger, etc. Como se puede observar en la siguiente captura de pantalla, el resultado ha sido negativo en este caso.

peritaje_informatico_virus_movil_4

Si el resultado hubiese sido positivo, habría sido necesario analizar la procedencia del malware, para realizar un peritaje informático que el cliente pudiera presentar en su denuncia ante el Cuerpo Nacional de Policía o ante la Guardia Civil (el informe de un perito informático es condición sine qua non para interponer una denuncia de este tipo). Si el origen del malware no pudiera ser identificado, el perito informático debería realizar una investigación completa de la extracción forense del terminal, al objeto de tratar de encontrar direcciones IP o de correo electrónico, números telefónicos, etc., que pudieran desvelar pistas sobre el origen del malware. En definitiva, se deben buscar, para el malware, posibles orígenes cuya titularidad, el perito informático, no podría, a priori, determinar, ya que carece de autorización judicial, siendo la Policía Judicial la que debería proceder a su identificación, una vez se haya obtenido la pertinente autorización del juez (para lo cual, el informe pericial informático deberá presentar indicios muy sólidos y pistas muy contundentes sobre el origen del malware).