Forensik Mobile Dasar — Investigasi Smartphone Android untuk Pemula

Coba deh lo liat sekeliling lo sekarang. Ada berapa smartphone di dekat lo?

Gue berani taruhan: minimal satu. Mungkin dua — HP pribadi dan HP kantor. Dan di dalam smartphone itu ada segunung data: chat WhatsApp, foto, email, riwayat lokasi, transaksi e-wallet, bahkan mungkin data kesehatan dari smartwatch yang terhubung.

Sekarang lo bayangin: lo jadi investigator digital, dan smartphone ini adalah barang bukti. Gimana caranya lo ngambil data dari smartphone tanpa mengubahnya? Gimana lo ngadepin enkripsi, kunci layar, dan aplikasi yang auto-wipe data?

Selamat datang di dunia forensik mobile — salah satu cabang forensik digital yang paling challenging dan paling exciting.

Di artikel ini kita bakal bahas forensik mobile dari dasar, fokus ke Android (karena market share-nya dominan di Indonesia). Kita akan kupas teknik akuisisi, tools, dan artefak-artefak penting yang harus lo cari. Siap?

Kenapa Forensik Mobile Itu Penting?

Coba lo lihat statistik ini:

• Pengguna smartphone di Indonesia: lebih dari 190 juta (DataReportal 2024).
• Android market share di Indonesia: sekitar 90%.
• Rata-rata orang Indonesia menghabiskan 5 jam per hari di smartphone.

Artinya: hampir semua aspek kehidupan digital orang Indonesia ada di smartphone. Chat, email, medsos, mobile banking, foto, dokumen — semuanya di situ.

Dalam konteks investigasi, smartphone bisa jadi tambang emas bukti:

• Kasus penipuan online — chat WhatsApp dengan korban, bukti transfer, screenshot.
• Kasus narkoba — komunikasi dengan jaringan, foto barang bukti, lokasi transaksi.
• Kasus korupsi — chat dengan pihak terkait, foto dokumen, transaksi tidak wajar.
• Kasus perselingkuhan — (lo tau sendiri lah).
• Kasus terorisme — komunikasi terenkripsi, file propaganda, video.

Tapi masalahnya: smartphone modern dirancang untuk melindungi privasi pengguna. Enkripsi, kunci layar, secure enclave, sandbox aplikasi — semua fitur keamanan ini bikin kerjaan investigator makin susah.

Anatomi Penyimpanan Android

Sebelum ngomongin teknik akuisisi, lo harus paham dulu gimana penyimpanan di Android bekerja.

Struktur Partisi (Sebelum Android 7)

Android jadul nyimpen data di beberapa partisi:

• /boot — kernel dan RAM disk.
• /system — sistem operasi Android.
• /data — aplikasi dan data pengguna (ini yang paling penting buat investigasi!).
• /cache — data sementara.
• /recovery — recovery mode.

File-Based Encryption (Android 7+)

Mulai Android 7, Google memperkenalkan File-Based Encryption (FBE). Setiap file dienkripsi secara individual dengan kunci berbeda. Tanpa kunci layar, data nggak bisa diakses.

Full-Disk Encryption (Android 5-9)

Enkripsi seluruh partisi /data dengan satu kunci master. Begitu lo masukin PIN/password yang benar, partisi didekripsi dan bisa diakses.

Android 10+: Keamanan Makin Ketat

• Metadata encryption — bahkan metadata file system dienkripsi.
• Secure lock screen — brute force attack makin susah.
• Knox (Samsung) atau Titan M (Google Pixel) — hardware security module.

Intinya: makin baru Android-nya, makin susah buat diakuisisi tanpa password. Tapi bukan berarti impossible — ada teknik-teknik yang bisa lo pakai.

Metode Akuisisi Smartphone Android

Ada beberapa metode yang bisa lo pakai, tergantung kondisi HP:

1. Akuisisi Fisik (Physical Acquisition)

Ini yang paling ideal: lo bisa dapet bit-by-bit copy dari seluruh storage — termasuk deleted files dan unallocated space. Tapi...

Syaratnya:

• HP harus di-root (administrative access).
• Atau bootloader harus unlocked.
• Atau ada exploit yang bisa kasih akses root sementara.

Masalah: rooting mengubah data di HP! Ini bisa dipertanyakan di pengadilan. Jadi kalau lo pilih metode ini, lo harus dokumentasikan dengan sangat detail kenapa rooting diperlukan dan apa dampaknya.

2. Akuisisi Logis (Logical Acquisition)

Lebih umum dipakai. Lo ngambil data dari HP via interface standar (ADB untuk Android, iTunes untuk iPhone). Yang bisa diambil: file yang terlihat, database aplikasi, kontak, SMS, call log, dll.

Kelebihan:

• Nggak perlu root.
• Lebih mudah dan lebih cepat.
• Perubahan ke HP minimal (hanya footprint tools).

Kekurangan:

• Nggak dapet deleted files.
• Nggak dapet unallocated space.
• Beberapa aplikasi menyimpan data di lokasi yang nggak bisa diakses tanpa root.

3. Akuisisi File System

Pertengahan antara fisik dan logis. Lo ngakses file system Android via ADB (dengan permission tertentu) dan copy folder-folder penting — terutama /data/data/ yang nyimpen data aplikasi.

4. Akuisisi Cloud

Kadang data yang lo cari nggak ada di HP, tapi di cloud yang disinkronkan: Google Drive, Google Photos, WhatsApp backup, Samsung Cloud, dll. Dengan akses ke akun Google korban (kalau ada izin atau court order), lo bisa download data dari cloud.

Tools Forensik Mobile

Ada banyak tools — dari yang gratis sampai yang komersial jutaan dolar:

Tools Gratis / Open Source:

1. Android Debug Bridge (ADB) — built-in tools dari Android SDK. Bisa buat backup, pull file, dan shell access. Paling basic tapi penting banget.

2. ADB Backup — fitur bawaan Android untuk backup data aplikasi via ADB. Sintaksnya:

adb backup -apk -shared -all -system -f backup.ab

Tapi banyak aplikasi yang nggak mengizinkan backup — ini tergantung developer aplikasi.

3. Autopsy — setelah data di-extract, lo bisa analisis pakai Autopsy. Ada module khusus Android Analyzer.

4. Andriller — tools Python untuk extract data dari Android via ADB.

5. MobSF (Mobile Security Framework) — fokus ke analisis malware dan keamanan aplikasi, bukan forensik murni. Tapi berguna untuk analisis APK.

Tools Komersial:

1. Cellebrite UFED — industry standard. Bisa bypass banyak proteksi, support ribuan model HP. Harganya? Puluhan sampai ratusan juta per tahun.

2. Magnet AXIOM — opsi yang lebih terjangkau. Support Android dan iOS.

3. Oxygen Forensic Detective — fitur lengkap, termasuk analisis aplikasi chat dan media sosial.

4. XRY (MSAB) — banyak dipakai kepolisian di Eropa.

Buat pemula: mulai dari ADB + Autopsy. Itu udah cukup buat belajar dan menangani kasus-kasus sederhana.

Praktik: Akuisisi Android dengan ADB

Oke, sekarang kita langsung praktek. Lo butuh:

1. Smartphone Android (target).
2. Kabel USB data.
3. Laptop dengan ADB terinstall.

Step 1: Install ADB

Di Linux:

sudo apt install adb

Di Windows/macOS: download Android SDK Platform Tools.

Step 2: Aktifkan USB Debugging

Di HP target:

• Settings → About Phone → tap "Build Number" 7x (yes, ini nggak boong) sampai muncul "You are now a developer"
• Balik ke Settings → Developer Options → aktifkan USB Debugging

Catatan penting: Kalau HP terkunci dan lo nggak bisa masuk... yah, ini masalah. Lo perlu metode unlock dulu (password/PIN, fingerprint, atau face unlock).

Step 3: Sambungkan HP

Colok HP ke laptop via USB. Di HP bakal muncul pop-up "Allow USB debugging?" — centang "Always allow" lalu OK.

Verifikasi koneksi:

adb devices

Output yang diharapkan:

List of devices attached
ABCDEF123456789    device

Step 4: Ekstrak Data

# Cek semua paket aplikasi terinstall
adb shell pm list packages

# Backup penuh (kalau aplikasi mendukung)
adb backup -apk -obb -shared -all -system -f backup_evidence.ab

# Copy folder data aplikasi tertentu (butuh akses lebih tinggi)
adb pull /sdcard/ /evidence/sdcard/

Step 5: Analisis

Setelah data berhasil di-extract, lo bisa:

• Buka file SQLite database (pakai DB Browser for SQLite).
• Parse file XML/JSON.
• Analisis file multimedia.
• Cari keyword spesifik pakai tools seperti grep atau Autopsy.

Artefak Penting di Smartphone Android

Nah, ini bagian yang paling penting. Lo udah berhasil extract data. Sekarang: apa aja yang harus lo cari?

1. Database Aplikasi Chat

Aplikasi chat biasanya nyimpen data di SQLite database:

WhatsApp:

• /data/data/com.whatsapp/databases/msgstore.db — history chat.
• /data/data/com.whatsapp/databases/wa.db — kontak WhatsApp.
• Backup di /sdcard/WhatsApp/Databases/

Telegram:

• /data/data/org.telegram.messenger/files/

LINE, Signal, WeChat, dll: punya struktur database masing-masing.

2. Call Log dan SMS

• Call log: /data/data/com.android.providers.contacts/databases/contacts2.db
• SMS/MMS: /data/data/com.android.providers.telephony/databases/mmssms.db

3. GPS dan Riwayat Lokasi

• Google Location History — bisa di-download dari Google Takeout (kalau ada akses ke akun Google).
• Cache lokasi aplikasi: /data/data/com.google.android.gms/databases/
• Foto dengan geotag (EXIF GPS data).

4. Browser History

• Chrome: /data/data/com.android.chrome/app_chrome/Default/History (SQLite database).
• Browser bawaan: struktur mirip.

5. Email

• Gmail: /data/data/com.google.android.gm/databases/
• Outlook: /data/data/com.microsoft.office.outlook/databases/

6. File Multimedia

• Foto/video: /sdcard/DCIM/, /sdcard/Pictures/, /sdcard/Downloads/
• Screenshot: /sdcard/DCIM/Screenshots/ atau /sdcard/Pictures/Screenshots/
• Voice notes WhatsApp: /sdcard/WhatsApp/Media/WhatsApp Voice Notes/

7. Akun yang Terdaftar

• Settings → Accounts — daftar akun Google, Samsung, Facebook, WhatsApp, dll.
• Bisa diakses via ADB: adb shell content query --uri content://com.android.settings/accounts

Tantangan dalam Forensik Mobile

Forensik mobile itu exciting, tapi juga penuh tantangan. Lo harus siap mental:

1. Enkripsi

Sejak Android 7, enkripsi file-based jadi standar. Tanpa password, data terenkripsi dan nggak bisa diakses. Lo perlu:

• Password/PIN/pattern dari pemilik.
• Atau exploit untuk bypass (mahal dan jarang tersedia).
• Atau tools komersial (Cellebrite) yang support brute force atau bypass.

2. Kunci Layar

Sebelum lo bisa ngapa-ngapain, lo harus unlock dulu. Metode:

• Minta password ke pemilik (kalau kooperatif).
• Fingerprint/face unlock (bisa dipaksa secara hukum dalam beberapa yurisdiksi — hati-hati dengan regulasi setempat).
• Brute force (lama dan berisiko — banyak HP auto-wipe setelah beberapa kali gagal).

3. Aplikasi Anti-Forensik

Beberapa aplikasi khusus dirancang untuk menghambat investigasi:

• Secure chat apps — Signal, Telegram Secret Chat, WhatsApp disappearing messages.
• File vault apps — menyembunyikan file di dalam folder terenkripsi.
• Anti-forensic tools — auto-wipe data kalau ada upaya akses paksa.

4. Data Volatile

Data di RAM smartphone bisa hilang kalau baterai habis atau HP restart. Kalau HP mati, lo kehilangan kesempatan untuk live acquisition.

5. Remote Wipe

Pemilik bisa remote wipe HP-nya via "Find My Device" (Android) atau "Find My iPhone" (iOS). Kalau lo udah amankan HP, segera aktifkan airplane mode dan matikan WiFi/data seluler untuk mencegah remote wipe.

Faraday Bag: Sahabat Investigator Mobile

Gue sering ditanya: "Pas pertama kali nemu HP di TKP, harus diapain?"

Jawabannya: masukin ke Faraday bag.

Faraday bag adalah kantong khusus yang memblokir semua sinyal radio — cellular, WiFi, Bluetooth, GPS. Fungsinya:

1. Mencegah remote wipe — HP nggak bisa terima perintah dari internet.
2. Mencegah perubahan data — nggak ada chat baru, notifikasi, atau update yang masuk.
3. Mencegah triangulasi — kalau HP dilacak oleh pihak lain.

Setelah HP aman di Faraday bag, lo bisa bawa ke lab dan memutuskan strategi akuisisi yang tepat.

Prosedur First Response untuk Smartphone

Ini prosedur standar yang direkomendasikan pas lo pertama kali nemu HP di TKP:

1. Foto kondisi HP — layar nyala? Ada notifikasi? Baterai berapa persen?
2. Dokumentasikan — catat merk, model, IMEI, warna, kondisi fisik.
3. Jangan sentuh layar (kalau bisa) — fingerprint atau gesture yang salah bisa bikin HP terkunci permanen.
4. Cek koneksi — kalau HP terhubung ke charger atau ke laptop, foto dulu, baru lepas.
5. Aktifkan airplane mode (kalau HP unlocked) — ini mencegah remote wipe tanpa perlu Faraday bag. Tapi CATAT: mengaktifkan airplane mode juga mengubah status HP — jadi dokumentasikan.
6. Masukkan ke Faraday bag — kalau HP locked atau lo nggak yakin.
7. Isi form chain of custody — deskripsi HP, IMEI, lokasi ditemukan, jam.

Forensik Mobile di Indonesia

Di Indonesia, forensik mobile semakin banyak dipakai oleh:

• Kepolisian — untuk kasus narkoba, penipuan, terorisme, dan UU ITE.
• KPK — untuk kasus korupsi (komunikasi via chat antara tersangka).
• BSSN — untuk investigasi insiden siber yang melibatkan perangkat mobile.
• Perusahaan swasta — untuk investigasi internal.

Tapi ada tantangan khusus:

• Banyak institusi belum punya tools forensik yang memadai.
• Biaya tools komersial sangat tinggi.
• Jumlah tenaga terlatih masih sedikit.
• Kesadaran tentang prosedur dan standar forensik masih rendah.

Jadi buat lo yang belajar sekarang: ini ladang karir yang sangat menjanjikan.

Penutup

Forensik mobile adalah dunia yang menarik dan terus berkembang. Setiap update Android atau iOS membawa tantangan baru buat investigator. Tapi prinsip dasarnya tetap sama:

1. Lindungi integritas bukti — pakai Faraday bag, jangan sentuh sembarangan.
2. Dokumentasikan segalanya — setiap langkah, setiap tools, setiap temuan.
3. Pilih metode akuisisi yang tepat — sesuai kondisi HP dan izin yang lo punya.
4. Analisis artefak kunci — chat, call log, lokasi, browser history, email.

Mulai dari ADB dan Autopsy. Itu udah cukup buat lo belajar. Nanti kalau lo udah jago dan punya budget, baru upgrade ke tools komersial.

Di artikel berikutnya, kita bakal bahas forensik jaringan — gimana caranya menganalisis traffic network untuk mendeteksi serangan dan ngumpulin bukti. Stay tuned!

Kalau ada yang mau ditanyain, kontak aja via halaman Kontak. Dan cek artikel lain di kategori Forensik Digital!

Sampai ketemu di lab!