Comment savoir quelle application tente d'ouvrir des sites Web de spam?

11

J'ai récemment acheté un nouveau smartphone Android. Après l'avoir installé et chargé mes contacts dessus, j'ai pensé que ce serait tout.

Maintenant, après quelques jours, chaque fois que je déverrouille le téléphone, il faut quelques secondes pour qu'il ouvre le navigateur par défaut et ouvre un site Web de spam. J'ai essayé de voir ce qui en était la cause. J'ai supprimé toutes les applications auxquelles je ne pouvais pas faire confiance, mais le problème persistait. Après avoir essayé de le résoudre pendant un certain temps, j'ai abandonné et réinitialisé le téléphone aux paramètres d'usine. Maintenant, après l'avoir réinitialisé à sa valeur par défaut, il a fonctionné sans problème pendant environ une semaine avant que le problème ne réapparaisse.

J'ai essayé de désinstaller certaines applications afin de voir si elles en étaient la cause, mais rien n'a changé après cela. Cependant, j'ai remarqué que si je désactive le wifi, il n'essaiera même pas d'ouvrir le navigateur (je n'ai pas essayé les données mobiles car je n'ai pas de forfait). Cela me donne l'impression que cela pourrait être lié à quelque chose sur le réseau, mais cela n'expliquerait pas pourquoi seul ce téléphone aurait le problème alors qu'il y a au moins 6 téléphones Android sur ce même réseau.

J'espère qu'il y a quelqu'un qui peut m'aider à trouver la cause de ce problème et m'aider à le résoudre.

TL; DR Lors du déverrouillage de mon téléphone, il ouvre le navigateur et tente d'ouvrir un site Web de spam. Mais ne le fait que lorsqu'il est connecté au wifi.

Ce que j'ai essayé jusqu'à présent:

  • Réinitialisation d'usine (n'a aidé que pour un temps limité)
  • Vider le cache du navigateur et toutes les données associées
  • Suppression d'une application que je ne sais pas fiable
  • Tenter de trouver ce qui le déclenche (il semble qu'un certain type de connexion Internet soit requis ??)

L'appareil est le Doogee Shoot 1. En ce qui concerne le navigateur, la valeur par défaut est le navigateur Android, mais si je change la valeur par défaut, il utiliserait également Chrome. Il semble vraiment utiliser simplement le navigateur qui est réglé par défaut.

maam27
la source
@beeshyams j'ai essayé d'effacer les données du navigateur à plusieurs reprises, et si l'effacement ne l'a pas fait, la réinitialisation d'usine aurait dû résoudre les cookies mais il est simplement revenu quelque temps après.
maam27
3
@beeshyams, le malware n'est pas nécessairement devenu une application système (par exemple, cela n'expliquerait pas pourquoi il a fallu une semaine après la réinitialisation d'usine pour que le problème réapparaisse). Je vérifierais les applications avec les auditeurs de la diffusion de déverrouillage de l'écran pour affiner les candidats (voir: détecter l'événement de déverrouillage du téléphone , le meilleur candidat semble être Intent.ACTION_USER_PRESENT).
Izzy
@izzy: point valide. Merci. Cela ne signifie-t-il pas qu'il devra désinstaller toutes les applications utilisateur comme moyen facile d'isoler après la sauvegarde des données?
beeshyams
1
@beeshyams Je n'ai pas dit "désinstaller" - j'ai écrit une vérification pour les applications ayant un tel auditeur établi, puis je les ai abordées explicitement. Jetez un œil aux informations sur les applications ( Playstore / FDroid / capture d'écran , cochez "Récepteurs" ici).
Izzy
1
@Izzy serait-il possible d'aller sur un chat et voir si nous pouvons trouver le problème en le faisant? car cela réduirait également les commentaires
maam27

Réponses:

19

Sur la base du dépannage que l'OP a fait suite à mes conseils, le coupable semblait être une application système en tant que malware nommé System Locker avec le nom de package com.tihomobi.lockframe.syslocker . Le problème semble résulter d'une mise à jour du système, pour certains utilisateurs de l'appareil.

Comme d'habitude avec une application système, si vous arrivez à utiliser l' option Désactiver sous Paramètres → Applications → Applications système / Toutes les applications → le coupable, par tous les moyens, désactivez cette application, forcez-la ou redémarrez Android. Le problème devrait être résolu jusqu'à la réinitialisation d'usine de l'appareil.


Dépannage # 1

Voici comment j'ai découvert le coupable. L'outil Android intégré dumpsys montre entre autres quelle application a été appelée par quelle autre application. L'appelant est appelé forfait d'appel.

Si vous avez configuré le et sur le PC et l'appareil Android, procédez comme suit:

  1. garder l'appareil connecté au PC
  2. redémarrez l'appareil ou arrêtez de force cette application de navigateur par défaut
  3. laissez le logiciel malveillant faire son travail, c'est-à-dire que le navigateur soit lancé automatiquement
  4. dès que le navigateur est lancé, ne faites rien physiquement avec l'appareil, mais exécutez la commande adb suivante sur PC:

    adb shell dumpsys activity activities
    

Voici la sortie du périphérique OP :

ACTIVITE MANAGER ACTIVITIES (activités d'activité dumpsys)
Affichage # 0 (activités de haut en bas):
  Pile # 1:
    ID de tâche n ° 2
    * TaskRecord {8190ba1 # 2 A = android.task.browser U = 0 sz = 1}
      userId = 0 effectiveUid = u0a64 mCallingUid = u0a26 mCallingPackage = com.tihomobi.lockframe.syslocker
      affinity = android.task.browser
      intention = {act = android.intent.action.VIEW dat = http: //im.apostback.com/click.php? c = 362 & key = 9wl83884sg67y1acw3z56z90 & s4 = 8% 2FdNwcNuQFEjjaucho5IqA% 3D% 3D flg = 0x10000000 pkg = com.com.and navigateur cmp = com.android.browser / .BrowserActivity}
      realActivity = com.android.browser / .BrowserActivity
...
...
Hist # 0: ActivityRecord {66cd59b u0 com.android.browser / .BrowserActivity t2}
          packageName = com.android.browser processName = com.android.browser
          launchedFromUid = 10026 launchedFromPackage = com.tihomobi.lockframe.syslocker userId = 0
          app = ProcessRecord {5ad1810 4337: com.android.browser / u0a64}
          Intention {act = android.intent.action.VIEW dat = http://im.apostback.com/click.php?c=362&key=9wl83884sg67y1acw3z56z90&s4=8%2FdNwcNuQFEjjaucho5IqA%3D%3D flg = 0x10000000 pkgbr. Com100 cmp = com.android.browser / .BrowserActivity}

Dans la sortie:

  • com.android.browser est le nom du package du navigateur Android stock dans votre appareil
  • com.tihomobi.lockframe.syslocker est le nom du package de l'application malveillante et est appelé package appelant.

Si vous avez trouvé le malware, évitez le prochain dépannage et passez à la rubrique Supprimer le malware .


Dépannage # 2

(En réponse à un doublon publié ici - l'application coupable était Farming Simulator 18 )

Dans certaines circonstances, le dépannage susmentionné peut ne pas être en mesure de vous aider, par exemple lorsque l'appel nom du package est le nom du package du navigateur lui-même affiché dans la sortie de dumpsys. Dans ce cas, préférez . Configurez logcat comme ceci:

adb logcat -v long, descriptif | grep "dat = http" # vous pouvez également grep n'importe quoi à partir de l'URL. Cela ne dépend que de vous.
adb logcat -v long, descriptif> logcat.txt # alternative; si grep n'est pas installé dans votre système d'exploitation. Vous devez rechercher dans ce fichier maintenant.

Déverrouillez maintenant l'appareil et laissez le navigateur avec cette URL être lancé automatiquement. Appuyez également sur Ctrlavec Csi vous enregistrez la sortie dans un fichier.

La sortie que nous recherchons ressemblerait à:

[11-27 16: 03: 22.592 3499: 6536 I / ActivityManager]
START u0 {act = android.intent.action.VIEW dat = https: //livemobilesearch.com / ... flg = 0x10000000 pkg = org.mozilla.firefox cmp = org.mozilla.firefox / .App} 

de uid 10021
...

[11-27 16: 03: 22.647 3499: 15238 I / ActivityManager]
START u0 {act = android.intent.action.VIEW dat = https: //livemobilesearch.com / ... pkg = org.mozilla.firefox cmp = org.mozilla.firefox / org.mozilla.gecko.BrowserApp} 

à partir de l' UID 10331

Voir les deux UID 10021 et 10331 en surbrillance. L'un d'eux (ils seraient différents dans votre cas) concerne l'application de navigateur lancée, et l'un d'eux est une application de logiciel malveillant demandant cette URL. Alors, comment trouver quoi?

Si vous avez un accès root , faites simplement:

adb shell su -c 'ls -l / data / data / | grep u0_a 21 '
adb shell su -c 'ls -l / data / data / | grep u0_a 331 '

La sortie serait comme:

drwx ------ 5 u0_a21 u0_a21 4096 2018-01-01 10:31 com.android.chrome 
drwx ------ 5 u0_a331 u0_a331 4096 2018-01-01 10:31 com.tihomobi.lockframe.syslocker

Si vous ne disposez pas d'un accès root , procédez comme suit:

adb shell dumpsys package > packages_dump.txt

Recherchez maintenant la ligne avec vos UID tels que "userId = 10021" et "userId = 10331". La ligne au-dessus de la ligne recherchée vous donnera le nom du package et peut ressembler à ceci:

Package [ com.android.chrome ] (172ca1a):
    userId = 10021
...
Package [ com.tihomobi.lockframe.syslocker ] (172ca1a):
    userId = 10331

Les deux noms de packages sont com.android.chrome (pour le navigateur Chrome - certainement pas un malware) et com.tihomobi.lockframe.syslocker . Pour connaître le nom de l'application à partir du nom du package, utilisez ma réponse ici .


Nuke le malware

Maintenant que vous connaissez le coupable, vous pouvez le désactiver via l'interface graphique comme indiqué ci-dessus. Si ce n'est pas possible, faites:

adb shell pm disable-user PKG_NAME # désactive l'application
adb shell pm uninstall --user 0 PKG_NAME # supprime l'application pour l'utilisateur principal
adb shell am force-stop PKG_NAME # uniquement force-stop l'application

Remplacez PKG_NAME par le nom de package du logiciel malveillant que vous avez noté dans le dépannage ci-dessus.

Cela devrait faire l'affaire. De plus, vous pouvez également envisager de supprimer définitivement l'application malveillante pour tous les utilisateurs, mais cela nécessite cependant un accès root.

Seigneur du feu
la source
1
Merci d'avoir repris le chat où je devais quitter - et bonne analyse, +1! J'ai appris une nouvelle chose de dumpsyscette façon :)
Izzy
@Izzy, je suis content que tu l'aimes. :)
Firelord
+1 Belle fouille profonde Ir
Irfan Latif
@IrfanLatif merci.
Firelord
0

Un peu plus d'informations sont nécessaires pour résoudre le problème, même si j'essaierai de trouver les problèmes possibles. Quel navigateur? Quel modèle de téléphone? A-t-il été acheté auprès de sources officielles?

En théorie, la réinitialisation d'usine aurait dû vous aider avec le problème. Comme ce n'est pas le cas, il existe quelques autres endroits où vous pouvez obtenir une forme de logiciel publicitaire. Tout d'abord, vous avez dit désinstaller certaines applications? Quelles applications en particulier? Est-il apparu après l'installation d'un logiciel particulier?

Est-ce votre wifi ou utilisez-vous un wifi public? S'il est public, les entreprises envoient généralement des demandes d'installation d'applications et de publicités via le wifi assez souvent. Si vous habitez dans / près d'une zone animée, vous ne seriez pas surpris que ce soit juste quelqu'un qui utilise pour faire la publicité de son produit. Essayez d'utiliser un autre wifi ou le wifi de quelqu'un d'autre, voyez si le problème persiste. Si ce n'est pas le cas. Il s'agit d'un problème avec le réseau que vous utilisez, ce qui signifie que vous devrez probablement changer. Vous pouvez essayer de contacter votre fournisseur pour vous aider. Vérifiez également si le réseau mobile présente le même problème. Si ce n'est pas le cas, votre option serait de changer le réseau que vous utilisez actuellement.

Josh Ross
la source
Les applications que je voulais dire ont toutes été installées à partir de l'Appstore, mais je me rends compte que toutes ne peuvent pas être en sécurité à tout moment et parfois les choses dépassent la sécurité de celui-ci. alors j'ai essayé d'en retirer certains que je ne savais pas s'ils étaient complètement sûrs ou non. Quant à Internet, c'est un réseau privé et je ne vis pas dans un quartier bondé. Mais comme j'utilise une carte prépayée, cela voudrait dire que les données mobiles deviennent chères. Je pourrais essayer quelque chose en utilisant le PC comme un hotspot pour voir si cela a une différence avec le wifi directement.
maam27