Julian Hellmann

• Diese Arbeit beschäftigt sich mit Einschränkungen bei der forensischen Analyse im Zuge eines Sicherheitsvorfalls auf Android-Geräten. Ziel ist es, die Effektivität gängiger Analysemethoden bei der Erkennung von Spyware in verschiedenen Szenarien zu bewerten. Insbesondere stellt sich die Frage nach der Notwendigkeit eines Root-Zugriffs. Zur Untersuchung wird der Proof of Concept einer Schadsoftware auf Basis von MITRE ATT&CK® erstellt. Für die Auswertung wird die Anzahl von Kompromittierungsindikatoren herangezogen, welche durch die untersuchten Methoden aufdeckbar sind. Es konnten viele Analysemethoden in den skizzierten Szenarien auch ohne Root-Zugriff eingesetzt werden.
• This thesis deals with the subject of restrictions on forensic analyses to investigate security incidents on Android devices. The goal is to evaluate the effectiveness of common methods in detecting spyware. Therefore various scenarios are considered. Especially the need for root access on the device is of interest. To do this, a proof of concept is created to represent malware based on the explanations from MITRE ATT&CK®. The number of indicators of compromise, that could be uncovered by the methods examined, is used for the evaluation. Many of them were able to produce results in the presented szenarios, even without root access.