D'après le dépannage que le PO a effectué en suivant mes conseils, le coupable semble être une application système. comme un logiciel malveillant nommé Verrouillage du système avec le nom du paquet com.tihomobi.lockframe.syslocker . Le problème semble résulter d'une mise à jour du système, par certains utilisateurs de l'appareil.
Comme d'habitude avec une application système, si vous parvenez à utiliser l'option Désactiver option sous Paramètres Apps Apps système/Toutes les apps le coupable, alors par tous les moyens, désactivez cette application, arrêtez-la de force ou redémarrez votre Android. Le problème devrait rester résolu jusqu'à ce que vous réinitialisiez l'appareil.
Dépannage n°0
Avant de commencer par les étapes un peu techniques mentionnées ci-dessous, vous voudriez essayer une méthode plutôt solution conviviale Proposition de aquí . Si cela ne fonctionne pas pour vous, revenez et suivez le reste de ma réponse.
Dépannage n°1
Voici comment j'ai trouvé le coupable. L'outil intégré d'Android dumpsys indique notamment quelle application a été appelée par quelle autre application. L'appelant est désigné sous le nom de Calling Package.
A condition que vous ayez configuré adb y débogage de l'usb avec succès dans le PC et l'appareil Android, procédez comme suit :
-
garder l'appareil connecté au PC
-
redémarrez l'appareil ou arrêtez de force l'application de navigation par défaut.
-
laisser le logiciel malveillant faire son travail, c'est-à-dire faire en sorte que le navigateur soit lancé automatiquement
-
dès que le navigateur est lancé, ne faites rien avec l'appareil physiquement, mais exécutez la commande adb suivante sur le PC :
adb shell dumpsys activity activities
Voici le sortie du dispositif de l'OP :
ACTIVITY MANAGER ACTIVITIES (dumpsys activity activities)
Display #0 (activities from top to bottom):
Stack #1:
Task id #2
\* TaskRecord{8190ba1 #2 A=**android.task.browser** U=0 sz=1}
userId=0 effectiveUid=u0a64 mCallingUid=u0a26 _mCallingPackage_\=**com.tihomobi.lockframe.syslocker**
affinity=android.task.browser
intent={act=android.intent.action.VIEW dat=http://im.apostback.com/click.php?c=362&key=9wl83884sg67y1acw3z56z90&s4=8%2FdNwcNuQFEjjaucho5IqA%3D%3D flg=0x10000000 pkg=com.android.browser cmp=com.android.browser/.BrowserActivity}
realActivity=com.android.browser/.BrowserActivity
...
...
Hist #0: ActivityRecord{66cd59b u0 com.android.browser/.BrowserActivity t2}
_packageName_\=**com.android.browser** processName=com.android.browser
launchedFromUid=10026 _launchedFromPackage_\=**com.tihomobi.lockframe.syslocker** userId=0
app=ProcessRecord{5ad1810 4337:com.android.browser/u0a64}
Intent { act=android.intent.action.VIEW dat=**http://im.apostback.com/click.php?c=362&key=9wl83884sg67y1acw3z56z90&s4=8%2FdNwcNuQFEjjaucho5IqA%3D%3D** flg=0x10000000 pkg=com.android.browser cmp=com.android.browser/.BrowserActivity }
Dans la sortie : :
-
com.Android.browser est le nom du paquet du navigateur Android stocké dans votre appareil.
-
com.tihomobi.lockframe.syslocker est le nom du paquet de l'application malveillante et est appelé paquet d'appel.
Si vous avez trouvé le maliciel, évitez le dépannage suivant et passez à la rubrique Nuke the malware .
Dépannage n°2
(En réponse à un duplicata posté <a href="https://android.stackexchange.com/q/204334/96277">aquí </a>-- l'application coupable était <a href="https://play.google.com/store/apps/details?id=com.giantssoftware.fs18.google" rel="nofollow noreferrer">Farming Simulator 18 </a>)
Dans certaines circonstances, le dépannage susmentionné peut ne pas être utile, par exemple lorsque le nom du paquet appelant est le nom du paquet du navigateur lui-même indiqué dans la sortie de dumpsys. Dans ce cas, préférez logcat . Configurez logcat comme ceci :
adb logcat -v long,descriptive | grep "dat=http" # you can grep anything from URL too. It is purely up to you.
adb logcat -v long,descriptive > logcat.txt # alternative; if grep is not installed in your OS. You need to search into that file now.
Maintenant, déverrouillez l'appareil et laissez le navigateur avec cette URL se lancer automatiquement. Appuyez également sur Ctrl con C si vous enregistrez la sortie dans un fichier.
Le résultat que nous recherchons ressemblerait à ceci :
\[ 11-27 16:03:22.592 3499: 6536 I/ActivityManager \]
START u0 {act=android.intent.action.VIEW dat=https://livemobilesearch.com/... flg=0x10000000 pkg=org.mozilla.firefox cmp=org.mozilla.firefox/.App}
from **uid 10021**
...
\[ 11-27 16:03:22.647 3499:15238 I/ActivityManager \]
START u0 {act=android.intent.action.VIEW dat=https://livemobilesearch.com/... pkg=org.mozilla.firefox cmp=org.mozilla.firefox/org.mozilla.gecko.BrowserApp}
from **uid 10331**
Voir les deux UIDs 10021 et 10331 en surbrillance. L'un d'eux (ils seraient différents dans votre cas) correspond à l'application de navigation lancée, et l'autre à l'application malveillante qui demande cette URL. Alors, comment trouver ce qui est quoi ?
Si vous avez accès à Root c'est tout simplement le cas :
adb shell su -c 'ls -l /data/data/ | grep u0\_a**21**'
adb shell su -c 'ls -l /data/data/ | grep u0\_a**331**'
La sortie serait comme :
drwx------ 5 u0\_a21 u0\_a21 4096 2018-01-01 10:31 **com.android.chrome**
drwx------ 5 u0\_a331 u0\_a331 4096 2018-01-01 10:31 **com.tihomobi.lockframe.syslocker**
Si vous n'avez pas d'accès Root , do :
adb shell dumpsys package > packages_dump.txt
Maintenant, recherchez la ligne avec vos UIDs tels que "userId=10021" et "userId=10331". La ligne au-dessus de la ligne recherchée vous donnera le nom du paquet, et peut ressembler à quelque chose comme ceci :
Package \[**com.android.chrome**\] (172ca1a):
userId=10021
...
Package \[**com.tihomobi.lockframe.syslocker**\] (172ca1a):
userId=10331
Les deux noms de paquet sont com.Android.chrome (pour le navigateur Chrome -- certainement pas un malware) et com.tihomobi.lockframe.syslocker . Pour connaître le nom de l'application à partir du nom du paquet, utilisez ma réponse. aquí .
Nuke the malware
Maintenant que vous connaissez le coupable, vous pouvez le désactiver via l'interface graphique comme indiqué ci-dessus. Si cela n'est pas possible, faites :
adb shell pm disable-user PKG\_NAME # disables the app
adb shell pm uninstall --user 0 PKG\_NAME # removes the app for primary user
adb shell am force-stop PKG\_NAME # only force-stops the app
Remplacer PKG_NAME avec le nom du paquet du logiciel malveillant que vous avez noté dans le dépannage ci-dessus.
Cela devrait faire l'affaire. En outre, vous pouvez également envisager de supprimer définitivement l'application malveillante pour tous les utilisateurs, mais cela nécessite un accès Root.