Det enkleste du kan gjøre er å koble mobilen opp mot en proxy, og falsk DNS server. Da vil du kunne inspisere all trafikk som blir sendt. Om de har noe software som overvåker mobilen, så vil jo det da sende data hjem til de på en måte. Det blir sikkert en del å lete igjennom, spesielt om det er mange apps installert. Fang trafikken med pcap, og analyser det i feks capanalysis. Det kan presentere data i en grei timeline, malware har som regel et veldig spesifikt mønster når det kommer til hvor ofte det snakker med sin server. Å da ha en lett oversiktlig timeline kan da være veldig hjelpsomt. Du kan også prøve å sende pcap filene igjennom Snort/Suricata, det er mulig at de vil klare å oppdage noe.

Analysering av filsystemet samt minnet er også mulig, men da begynner ting å bli litt mer vanskelig. Du bør da ta å speile data som er på telefonen, for å så analysere det på en PC. Her finner du litt mer informasjon om hvordan det gjøres. Analysering av minnet er litt teknisk krevede, og har en vis risiko for å bricke telefonen. Det bør derfor være det siste du bør forsøke, Volatility har en grei artikkel på hvordan det gjøres, men jeg anbefaler å teste det ut på en emulator før du går løs på mobilen. Det er lurt å lage flere kopier av data som hentes ut, så du ikke sitter å jobber på den eneste kopien av data. Skulle noe gale skje kan det være vanskelig eller umulig å få det tilbake.

Det vil være mye informasjon å leite igjennom når du først får noe ut, så du må beregne å bruke en god del tid på å gå igjennom alt. Ta litt notater underveis så du slipper å leite frem informasjonen igjen hele tiden. Det kan være lurt å øve seg kjapt på en emulator først, gjør ett eller annet på emulatoren du tror vil genere litt nettverks trafikk/filsystem IO, og se om du klarer å gjenskape hva som skjedde med noen av verktøyene du velger å bruke. Det kan være greit å øve litt før du hopper rett inn i det.