De temps en temps (et de plus en plus fréquemment), je reçois une notification qu'une application a essayé de s'installer (!) mais a été bloquée car elle provient de "sources inconnues", et elle me demande de désactiver la vérification "bloquer l'installation à partir de sources inconnues" dans les Paramètres.

Ce n'est pas une notification mais un dialogue et ça ressemble à ceci:

_{(Cliquez sur l'image pour agrandir; image gracieuseté de <a href="https://android.stackexchange.com/q/132951/96277">Piyush</a>)}

Au début, je pensais que ce pourrait être des mises à jour système et j'ai été tenté de désactiver le blocage des "sources inconnues", mais maintenant je crains d'avoir un logiciel malveillant sur mon téléphone.

Oui, ne jamais activer ce paramètre Sources inconnues si vous êtes en territoire inconnu.

Où devrais-je chercher l'APK qui essaye de s'installer (ou les APK)?

C'est un peu difficile de trouver l'application. Je recommande de trouver la cause de l'effet. Dans notre cas, l'effet était le dialogue indiquant que le paramètre Sources inconnues était bloqué. Ce dialogue est affiché par l'Installateur de Paquets (une application système de base). L'Installateur de Paquets est utilisé par les applications utilisateur ou système qui n'ont pas la permission android.permission.INSTALL_PACKAGES pour installer une application. Étant donné que vous n'avez pas essayé de charger latéralement une application, il semble raisonnable de supposer qu'une application appelée Installateur de Paquets l'a fait sans votre consentement. Notre objectif imminent est de découvrir cette application particulière.

Le service système activity enregistre de nombreux détails importants. Entre autres choses, il montre le package appelé qui dans ce cas est l'application Installateur de Paquets avec le nom de package com.google.android.packageinstaller ou com.android.packageinstaller. Il montre également le package appelant ou le package qui a lancé un autre package.

Trouver le nom du package

Maintenant, en utilisant adb sur PC, exécutez la commande:

adb shell dumpsys activity activities      # cette commande doit être exécutée uniquement lorsque ce dialogue est à l'avant-plan

Sortie de démonstration: remarquez la ligne surlignée:

Dans la ligne surlignée, la chaîne après launchedFromPackage= et avant userId est le package responsable du lancement de l'application Installateur de Paquets. Dans votre cas, ce serait un nom de package différent. Notez ce nom de package (dorénavant désigné par ).

Localiser l'APK

Maintenant que nous connaissons la cause immédiate, nous pouvons traquer le foyer ou en d'autres termes, l'APK. Exécutez la commande:

Remarque : Trouver l'emplacement de l'APK est requis uniquement pour la criminalistique. Si cela ne vous intéresse pas, je vous recommande de ne pas vous inquiétez pas de cette étape et de passer immédiatement à la rubrique Désinstaller/Désactiver/Masquer l'application.

adb shell pm path   

Sortie de démonstration:

bash-4.2# adb shell pm path com.estrongs.android.pop
package:**/data/app/com.estrongs.android.pop-1/base.apk**
La chaîne suivant `package:` est l'emplacement de l'APK. Vous pouvez également trouver la même information _entre autres_ avec la commande:

adb shell dumpsys package 

Désinstaller/Désactiver/Masquer l'application

Si vous connaissez l'étiquette du package ou pouvez la connaître de quelque manière que ce soit (par exemple avec AppXplore), allez dans le gestionnaire d'applications dans l'application Paramètres qui se trouve généralement dans Paramètres → Applications → Toutes les applications dans Android stock, trouvez l'application malveillante et désinstallez-la.

Choses à noter

• Si le bouton Désinstaller est grisé ainsi que le bouton Forcer l'arrêt, alors votre application doit être un administrateur de l'appareil. Dans ce cas, allez dans les paramètres de sécurité, choisissez l'option Administrateurs de l'appareil et révoquez le privilège administrateur de l'application. Revenez et essayez de désinstaller l'application.

• Si vous ne trouvez pas l'option Désinstaller, alors votre application malveillante est une application système. Que ce soit votre vendeur qui l'a pré-installée ou l'application a exploité votre système ou vous a trompé pour s'installer est une autre question à traiter. Pour une application système, le bouton Désinstaller est remplacé par Désactiver.

  • Si les côtés Forcer l'arrêt et Désactiver sont grisés, alors l'application peut également être un administrateur de l'appareil. Dans ce cas, révoquez ce privilège puis essayez de désactiver l'application.

  • Si le seul bouton Désactiver est grisé, alors:

    • Pour un Android rooté : utilisez adb pour désactiver l'application à travers les commandes:

      adb shell
      su
      pm disable 

      Pour activer l'application, remplacez disable par enable dans la commande susmentionnée.

      Vous pouvez également utiliser une application, telle que Titanium Backup, pour désactiver/congeler l'application malveillante. Vous pouvez également envisager de supprimer l'APK en utilisant une application de gestionnaire de fichiers.

    • Pour un Android non rooté : à condition que vous utilisiez Android 4.4.x ou supérieur, utilisez les commandes :

      adb shell
      pm block       # pour Android 4.4.x
      pm hide        # pour Android 5.x et 6.x

      Pour débloquer/démasquer le package, remplacez block par unblock et hide par unhide dans la commande appropriée susmentionnée. Dans ce cas particulier, masquer le package permettrait d'obtenir le même résultat que le désactiverait.

Le package resterait désactivé ou masqué jusqu'à ce que vous modifiez les changements.

Remarque pour les lecteurs

Il a été confirmé par l'auteur de la question que l'application malveillante sur leur téléphone a le nom de package com.android.tools.callassistant. J'ai trouvé son étiquette en tant que ID de l'appelant et elle a été signalée comme logiciel malveillant par AVG.