RetroScope: herramienta forense para recuperar las últimas imágenes de un dispositivo Android

Imagina que un criminal tiene una conversación en Telegram con uno de sus contactos para facilitarle la dirección de recogida de cierta mercancía. Justo antes de enviar el mensaje que está escribiendo con la dirección, se da cuenta de que la policía le sigue y no lo manda, incluso borra todos los logs y cierra la sesión. Al rato la policía entra y confisca su smartphone y una hora después incauta la mercancía... ¿Cómo es posible que la policía supiera la dirección si no llegó a mandar el mensaje con la información?

Seguro que habéis pensado que el smartphone estaba troyanizado antes y las fuerzas de seguridad usaban un keylogger, pero no es el caso...

La policía usó la herramienta RetroScope, volcó la memoria del dispositivo y fue capaz de reconstruir las imágenes anteriores de forma similar a como se hizo en el siguiente video:


¿Impresionante verdad? La herramienta fue publicada por investigadores de la universidad Purdue de Indiana el pasado USENIX Security Symposium del 10-12 de agosto y usa el framework de renderizado de Android para recuperar las últimas imágenes de la memoria volátil con el comando redraw. Durante las demos fueron capaces de recuperar de 3 a 11 últimas imágenes de 15 aplicaciones diferentes. Sin duda un nuevo paradigma en la investigación forense de dispositivos móviles.

Proyecto: https://github.com/ProjectRetroScope/RetroScope

Comentarios