Home Ancaman & Malware Cloud Security Forensik Digital Internet of Things Karier & Sertifikasi Keamanan Jaringan Keamanan Web Linux & Server Pengujian Keamanan Perlindungan Data Privasi & Anonimitas Tools & Software Search
Home » Forensik Digital » Forensik Smartphone Android — Cara Investigasi HP untuk Pemu...

Forensik Smartphone Android — Cara Investigasi HP untuk Pemula Tanpa Jadi Peretas

By Posted on 25 views
Kaca pembesar di atas smartphone Android menampilkan jejak digital bercahaya dan fragmen data muncul dari layar, ruang investigasi gelap dengan penanda bukti, pencahayaan biru dan amber

Forensik Smartphone Android — Cara Investigasi HP untuk Pemula Tanpa Jadi Peretas

Telepon dari HRD perusahaan itu masuk jam 10 pagi. Suaranya panik. “Mas Bandi, tolong kami. Ada mantan karyawan yang kayaknya bawa kabur data customer. Dia pegang HP kantor, dan sebelum resign, dia sempet transfer sesuatu. Bisa dicek gak?” Gue diem sebentar. Forensik smartphone. Itu bidang yang beda dari apa yang biasa gue kerjain. Gue lebih sering ngutak-ngatik server, konfigurasi firewall, ngurusin log — bukan ngecek isi HP orang.

Tapi gue penasaran. Dan gue bilang: “Coba saya lihat dulu.”

Forensik smartphone Android — dulu gue pikir itu cuma buat polisi atau lembaga pemerintah. Di film-film, yang pake jas lab putih, pake alat aneh-aneh, di ruangan steril. Ternyata, di dunia nyata, kebutuhan forensik smartphone udah nyampe ke ranah korporat. Perusahaan kecil. UMKM. Bahkan individu. Kasusnya macem-macem: karyawan yang nyolong data sebelum resign, HP perusahaan yang kena malware, bahkan kasus perselingkuhan (ya, gue pernah dimintain tolong buat ngecek HP pasangan — dan gue tolak mentah-mentah).

Di sini gue mau cerita pengalaman gue belajar forensik Android dari nol. Termasuk tools yang gue pake, batasan legal di Indonesia (ini penting banget), dan proses langkah demi langkah yang gue jalanin. Tapi dengan satu disclaimer gede: ini buat investigasi YANG SAH. Yang ada izin tertulis. Yang sesuai UU ITE. Gue gak ngajarin lo gimana cara nyadap HP pacar lo atau ngintip chat orang. Jangan. Selain ilegal, itu… ya, gak etis lah.

Kapan Forensik Smartphone Dibutuhin?

Sebelum ke teknis, lo harus tau dulu: kapan sih forensik HP ini relevan? Gak semua kasus perlu lo bongkar isi HP. Tapi ada situasi-situasi tertentu:

Investigasi Internal Perusahaan

Ini yang paling sering gue temuin. Karyawan resign. Sebulan kemudian, klien lo ngeluh karena ada yang ngontak mereka — nawarin jasa yang sama persis, dengan harga lebih murah. Ternyata si mantan karyawan buka usaha sendiri, dan somehow dia punya database customer lo.

Atau kasus lain: karyawan di-firing karena performance, tapi sebelum pergi dia ngirim file-file internal ke email pribadinya. Atau ke WhatsApp pribadinya. Atau upload ke Google Drive pribadi. HP kantor yang dia megang punya jejak digital dari semua itu — history file transfer, attachment email, upload cloud.

Di kasus ini, perusahaan berhak investigasi HP kantor yang mereka punya. Tapi dengan catatan: harus jelas di perjanjian kerja atau peraturan perusahaan bahwa HP kantor bisa dimonitor. Kalo gak ada klausul itu — lo masuk area abu-abu secara hukum.

Incident Response — HP Kena Malware

Karyawan lo gak sengaja install APK dari luar Play Store. Tiba-tiba HP-nya lemot, iklan dimana-mana, ada transaksi aneh di rekening. Sebagai tim IT/Security, lo perlu tau: apa sih malware itu? Nyolong apa aja? Gimana cara bersihinnya?

Forensik bisa bantu identifikasi: file APK sumbernya dimana, permission apa yang diminta, data apa yang udah dikirim ke server C2 (command and control), dan apakah malware itu nyebar ke perangkat lain di jaringan kantor.

Bukti Digital Untuk Proses Hukum

Kalo udah masuk ranah hukum — polisi yang turun tangan — forensik smartphone harus dilakukan oleh ahli yang tersertifikasi dan pake chain of custody yang ketat. Lo gak bisa asal colok USB dan copy-paste file. Itu bisa ngerusak bukti dan bikin bukti gak admissible di pengadilan.

Jadi kalo kasusnya udah serius — lo konsultasi sama penegak hukum. Jangan main forensik sendiri.

Ini bagian yang paling gue tekankan. Karena di Indonesia, ada UU ITE (UU No. 11 Tahun 2008, direvisi dengan UU No. 19 Tahun 2016 dan UU No. 1 Tahun 2024). Dan pasal-pasalnya… luas. Bisa ditafsirkan macem-macem.

Pasal Yang Harus Lo Tau

Pasal 30 UU ITE: “Setiap Orang dengan sengaja dan tanpa hak atau melawan hukum mengakses Komputer dan/atau Sistem Elektronik milik Orang lain dengan cara apa pun.”

Ini artinya: kalo lo ngakses HP orang lain TANPA IZIN — walaupun niatnya baik — lo bisa kena. Jadi pastiin dulu hak akses lo jelas. Untuk HP kantor: lo harus punya surat tugas atau dokumen izin dari manajemen. Untuk HP pribadi: yang punya sendiri yang harus ngasih izin, secara tertulis. Verbal consent itu gak cukup kalo kasusnya udah naik ke pengadilan.

Pasal 32 UU ITE: tentang perekaman, pemindahan, atau pengubahan data elektronik. Proses forensik (imaging, ekstraksi) masuk ke sini. Sekali lagi: harus ada izin.

UU PDP (Perlindungan Data Pribadi): UU No. 27 Tahun 2022. Sekarang data pribadi dilindungi secara spesifik. Kalo dalam proses forensik lo ngakses data pribadi orang lain (foto, chat pribadi, dll) yang GAK RELEVAN dengan investigasi — lo bisa kena pelanggaran.

Jadi, rule of thumb gue: sebelum mulai forensik, pastiin ada:

  1. Izin tertulis dari pemilik HP ATAU surat tugas dari perusahaan (kalo HP kantor).
  2. Lingkup investigasi yang jelas: data apa yang lo cari? Jangan nyebar kemana-mana.
  3. Pernyataan kerahasiaan: data yang ditemuin cuma buat keperluan investigasi, gak disebar.

Kalo ada keraguan soal legalitas — konsultasi ke lawyer yang ngerti IT. Lebih baik nolak proyek daripada kena jerat UU ITE.

Tools Forensik Android Yang Gue Pake

Oke, bagian teknis. Gue gak pake alat enterprise kayak Cellebrite atau Oxygen Forensic — itu harganya selangit, puluhan ribu dolar. Yang gue pake adalah tools gratis atau open source, yang surprisingly powerful buat investigator pemula.

ADB (Android Debug Bridge) — Pintu Masuk Utama

ADB adalah tools dari Google yang memungkinkan lo komunikasi sama perangkat Android via command line. Ini fundamental banget. Dengan ADB, lo bisa:

  • Cek informasi perangkat (merek, model, OS version)
  • List aplikasi yang terinstall
  • Tarik file dari HP ke laptop
  • Backup data aplikasi
  • Akses log sistem (logcat)

Untuk mengaktifkan ADB, lo perlu:

  1. Enable Developer Options di HP (tap Build Number 7 kali)
  2. Enable USB Debugging
  3. Colok HP ke laptop pake kabel USB
  4. Ketik adb devices — kalo muncul device ID, lo connected

Tapi ada kendala: di Android modern (Android 10+), banyak data aplikasi yang gak bisa diakses walaupun lo udah enable USB debugging. Ini karena scoped storage — sistem Android yang nge-batasi akses. Untuk ngakses, lo perlu root atau backup system-level (yang udah deprecated).

Android Backup Extraction — .ab Files

Dulu, sebelum Android 12, lo bisa pake adb backup buat bikin full backup HP. Command-nya:

adb backup -apk -shared -all -system -f backup.ab

Hasilnya file .ab (Android Backup) yang bisa lo ekstrak pake tools kayak Android Backup Extractor (ABE). Isinya bisa termasuk APK, data aplikasi, shared storage.

Tapi — Google udah nge-deprecate adb backup di Android 12+. Jadi kalo HP-nya Android terbaru, cara ini gak jalan. Lo harus nyari alternatif.

scrcpy — Mirroring Layar Yang Berguna

Sebenernya scrcpy itu tools buat mirroring layar HP ke laptop. Tapi di konteks forensik, ini berguna buat observasi. Lo bisa liat exactly apa yang ada di layar HP tanpa harus megang HP-nya. Ini penting buat dokumentasi — lo bisa screenshot step-by-step.

Dan di beberapa kasus, scrcpy bisa ngasih lo akses ke UI yang mungkin udah rusak touchscreen-nya. (

Analisis File System — Setelah Lo Dapet Image-nya

Kalo lo berhasil dapet image atau dump dari HP, langkah selanjutnya adalah analisis. Tools yang gue pake:

Autopsy (open source): Ini digital forensics platform yang powerful. Bisa ingest disk image, file system dump, dan ngasih interface buat browsing file, cari keyword, dan bikin timeline. Autopsy support berbagai file system termasuk yang dipake Android (ext4).

FTK Imager (gratis dari Exterro): Buat imaging dan preview. Bisa bikin forensic image dari drive atau folder.

binwalk (command line): Kalo lo dapet file backup atau disk image, binwalk bisa ngenalin dan ekstrak berbagai jenis file yang tertanam di dalamnya. Berguna banget kalo lo nemu file binary yang gak jelas formatnya.

Aplikasi Analisis Khusus Android

Beberapa data spesifik yang sering dicari:

data/data/com.whatsapp/databases/: Database WhatsApp. Formatnya SQLite. Lo bisa copy folder ini (kalo punya akses root atau backup) dan buka pake SQLite browser. Isinya: chat history, kontak, bahkan file yang dikirim. Tapi catatan: di Android 12+, akses ke folder ini perlu root.

data/data/com.android.providers.telephony/databases/: Database SMS dan MMS.

data/data/com.android.providers.contacts/databases/: Database kontak.

data/data/com.android.chrome/app_chrome/Default/: Data Chrome — history, bookmark, cache. Formatnya juga SQLite.

data/data/com.google.android.gms/: Google Play Services data — termasuk lokasi history (Location History).

Recovery File Yang Dihapus

File yang dihapus di Android itu gak langsung ilang. Di file system ext4, data tetap ada sampe di-overwrite. Tools recovery:

TestDisk / PhotoRec: Bisa recovery berbagai tipe file — foto, dokumen, arsip. Pake ini kalo HP udah di-root atau lo bisa mount storage-nya di Linux.

Tapi — di HP modern pake file-based encryption (FBE) yang di-enable default sejak Android 10. File yang dihapus mungkin udah terenkripsi dan recovery tanpa key encryption itu mustahil. Jadi jangan ngarep bisa recovery macem-macem kayak di film.

Proses Langkah Demi Langkah

Ini workflow forensik yang gue pake. Bukan SOP resmi ya — ini hasil trial-and-error gue sendiri. Pake aja sebagai referensi.

1. Persiapan — Jangan Sampe HP Mati Atau Kena Reset

Begitu HP ada di tangan lo:

  • Jangan matiin (kecuali emang HP-nya udah mati).
  • Jangan reset.
  • Jangan kirim command aneh-aneh.
  • Cabut SIM card kalo perlu (buat isolasi dari jaringan) — tapi hati-hati, beberapa malware detect SIM removal dan auto-wipe.
  • Taruh di tempat yang aman. Charger kalo baterai lemah.
  • Dokumentasi fisik: foto kondisi HP, IMEI, nomor seri.
  • Nyalakan airplane mode buat isolasi dari jaringan tanpa nge-trigger mekanisme wipe.

2. Identifikasi Perangkat

Colok ke laptop. Jalankan:

adb devices
adb shell getprop

getprop ngasih lo banyak info: manufacturer, model, build version, security patch level. Ini penting buat tau vulnerability apa yang mungkin ada di HP ini (misal: patch sebelum 2023 mungkin vulnerable ke exploit tertentu).

Cek:

  • USB debugging status
  • Root status: adb shell su — kalo balikannya #, berarti rooted
  • Encryption status: adb shell getprop ro.crypto.state

3. Ekstraksi Data — Step Paling Krusial

Tergantung akses yang lo punya:

Kalo HP unlocked dan USB debugging aktif:

  • adb shell buat explore file system (terbatas)
  • adb pull /sdcard/ buat copy shared storage
  • adb backup kalo Android < 12

Kalo HP rooted:

  • Lo bisa akses semua folder termasuk /data/data/
  • adb pull /data/data/ buat copy semua data aplikasi
  • Bisa dump full partition pake dd

Kalo HP locked dan gak ada USB debugging:

  • Ini susah. Kemungkinan gede lo gak bisa apa-apa selain coba bypass via recovery mode atau exploit known vulnerability.
  • Atau nyerah dan serahin ke professional yang punya tools komersial (Cellebrite).

4. Analisis Dan Dokumentasi

Setelah dapet data, lo analisis pake Autopsy atau manual (grep dan SQLite). Fokus ke:

Timeline: Buat timeline kejadian. File apa yang diakses jam berapa? Komunikasi apa yang terjadi sebelum karyawan resign?

File transfer: Cek file manager apps (Google Files, Mi File Manager) — history file yang dicopy atau dipindahin.

Cloud upload: Cek aplikasi cloud storage (Google Drive, Dropbox) — history upload.

Komunikasi: WhatsApp, email, Slack, Telegram — cari keyword yang relevan. Tapi ingat batasan: cuma data yang relevan dengan investigasi yang lo akses.

Log system: logcat bisa lo pake buat liat apa yang terjadi di sistem. Tapi logcat biasanya cuma nyimpen log beberapa jam terakhir — kecuali lo dapet dump dari persistent log.

5. Reporting — Yang Dibaca Manajemen

Hasil forensik lo harus ditulis dengan jelas. Format yang gue pake:

  • Executive Summary (buat manajemen yang gak ngerti teknis)
  • Device Information
  • Scope of Investigation
  • Methodology
  • Findings (dengan timestamp, screenshot, lokasi file)
  • Conclusion
  • Recommendations

Penting: tulis temuan secara OBYEKTIF. Jangan ada opini. Jangan ada asumsi. Hanya fakta yang bisa dibuktikan. “File X ditemukan di folder Y pada tanggal Z” — bukan “Dia sengaja nyolong data.” Karena yang kedua itu nanti ditentukan oleh manajemen atau pengadilan, bukan oleh lo.

Pengalaman Pribadi: Investigasi HP Kantor

Jadi balik ke cerita di awal — HP mantan karyawan yang dicurigain nyolong data customer. Setelah gue terima HP-nya (Samsung Galaxy A52, Android 13, gak di-root), gue dikasih surat tugas investigasi dari HRD. Jelas. Lengkap dengan scope: fokus ke data customer dan file perusahaan.

HP-nya masih nyala. USB debugging belum aktif. Gue harus minta ijin ke dia buat ngaktifin. Manajemen kontak dia — dan surprisingly, dia ngasih ijin. Mungkin karena dia yakin udah ngapus semua jejak.

Setelah USB debugging nyala, gue mulai:

  1. adb pull /sdcard/ — copy semua file dari storage
  2. Di folder Downloads, gue nemu file CSV yang isinya database customer. File ini dibuat 2 hari sebelum dia resign.
  3. Di folder DCIM, ada screenshot dari sistem CRM internal perusahaan — menampilkan data customer dan kontak.
  4. Di Google Drive (yang masih login di HP itu), gue liat history upload — ada beberapa file yang di-upload ke akun pribadi.

Gue dokumentasi semuanya. Screenshot. Timestamp. Path file. Gue bikin report. Manajemen pake data itu buat konfrontasi ke dia — dan akhirnya dia ngaku dan tanda tangan perjanjian untuk gak nyebarin data dan gak kontak customer perusahaan.

Apakah itu dramatis? Enggak. Dia gak dituntut. Diselesaikan internal. Tapi dari perspektif perusahaan — mereka berhasil mencegah data customer mereka disalahgunakan. Dan dari perspektif gue — gue belajar banyak tentang proses forensik yang praktis, legal, dan efektif.

Batasan Dan Hal Yang Harus Lo Ingat

Ada beberapa hal yang perlu lo sadari:

Enkripsi Adalah Tembok Besar

Android modern (10+) pake File-Based Encryption (FBE) secara default. Data di /data/data/ dienkripsi pake key yang derived dari kredensial user (PIN, pattern, password). Tanpa unlock screen — data itu gak bisa dibaca. Dan setelah reboot, sebelum user pertama kali unlock, data tetap terenkripsi (ini namanya “Direct Boot mode” atau “file-based encryption before first unlock”).

Ini artinya: kalo HP terkunci dan lo gak tau PIN-nya — kemungkinan lo gak bisa ngakses data aplikasi tanpa tools komersial yang harganya mahal.

Aplikasi Modern Banyak Yang Pake Enkripsi Sendiri

WhatsApp pake end-to-end encryption. Database chat-nya ada di /data/data/com.whatsapp/databases/, tapi konten chat terenkripsi. Untuk baca, lo perlu key yang disimpen di keystore Android (hardware-backed). Sekali lagi: susah diakses tanpa tools khusus.

Signal, Telegram (Secret Chat), bahkan Google Messages (RCS) — semuanya pake enkripsi yang bikin forensik tradisional gak mempan.

Chain of Custody — Kalo Serius, Ini Wajib

Kalo lo ngelakuin forensik yang mungkin dipake di pengadilan, lo harus punya chain of custody. Catatan tentang siapa yang megang barang bukti, kapan, dan apa yang dilakukan. Bentuknya bisa berupa form yang ditandatangani setiap kali perangkat berpindah tangan. Tanpa chain of custody — bukti digital lo bisa ditolak pengadilan.

Jangan Jadi Pahlawan — Tau Kapan Harus Nyerah

Kalo situasi di luar kemampuan lo — misalnya HP locked tanpa cara buka, atau data terenkripsi, atau kasusnya udah serius banget — lebih baik lo rekomendasiin perusahaan buat hire professional forensic investigator. Ada perusahaan digital forensics di Indonesia yang punya tools dan sertifikasi. Biaya mereka mahal. Tapi kalo datanya bernilai tinggi — worth it.

Akhir

Forensik smartphone Android itu bidang yang terus berubah. Setiap update Android nambahin lapisan keamanan yang bikin forensik makin susah. Di satu sisi, itu bagus buat privasi. Di sisi lain, itu bikin investigasi legal jadi lebih challenging.

Yang penting: selalu bertindak dalam batas hukum. Selalu punya izin tertulis. Selalu batasi scope investigasi sesuai keperluan. Dan jangan pernah — sekali lagi, jangan pernah — pake skill ini buat hal-hal yang gak etis atau ilegal.

Gue cuma investigator amatir yang belajar dari pengalaman. Tapi semoga apa yang gue ceritain bisa ngasih lo gambaran tentang dunia forensik smartphone dari sudut pandang orang Indonesia. Karena pada akhirnya, digital forensics itu bukan cuma soal tools atau teknik — tapi soal tanggung jawab.

Tags: #android #forensics #adb #investigasi #data-recovery
Banditz Cyber
Banditz Cyber
Security Researcher at IT Security
Banditz Cyber adalah security researcher di IT Security yang berfokus pada keamanan web, analisis kerentanan, dan edukasi keamanan siber. Melalui tulisannya, ia membagikan panduan praktis, riset teknis, dan wawasan keamanan digital dengan pendekatan yang mudah dipahami.
View all posts →

Related Articles