16 votes

Comment savoir quelle application essaie d'ouvrir des sites de spam ?

J'ai récemment acheté un nouveau smartphone Android. Après l'avoir configuré et y avoir chargé mes contacts, j'ai pensé que ce serait tout.

Maintenant, après quelques jours, chaque fois que je déverrouille le téléphone, il faut quelques secondes avant qu'il ouvre le navigateur par défaut et ouvre un site web de spam. J'ai essayé de trouver la cause de ce problème. J'ai supprimé toutes les applications auxquelles je ne savais pas si je pouvais faire confiance, mais le problème a persisté. Après avoir essayé de le résoudre pendant un certain temps, j'ai abandonné et réinitialisé le téléphone aux paramètres d'usine. Après avoir réinitialisé le téléphone aux valeurs par défaut, il a fonctionné sans problème pendant environ une semaine avant que le problème ne réapparaisse.

J'ai essayé de désinstaller certaines applications pour voir si elles n'étaient pas à l'origine du problème, mais rien n'a changé après avoir fait cela. Cependant, j'ai remarqué que si je désactive le wifi, il n'essaie même pas d'ouvrir le navigateur (je n'ai pas essayé les données mobiles puisque je n'ai pas de forfait). Cela me fait penser que cela pourrait être lié à quelque chose sur le réseau, mais cela n'expliquerait pas pourquoi seul ce téléphone aurait le problème alors qu'il y a au moins 6 téléphones Android sur ce même réseau.

J'espère que quelqu'un pourra m'aider à trouver la cause de ce problème et à le résoudre.

TL;DR Lorsque je déverrouille mon téléphone, il ouvre le navigateur et tente d'ouvrir un site de spam. Mais il ne le fait que lorsqu'il est connecté au wifi.

Les choses que j'ai essayées jusqu'à présent :

  • Réinitialisation d'usine (aide limitée dans le temps)
  • Effacer le cache du navigateur et toutes les données connexes
  • Suppression de toute application que je ne sais pas être fiable
  • J'essaie de trouver ce qui le déclenche (il semble qu'une connexion Internet soit nécessaire).

L'appareil est le Doogee Shoot 1. En ce qui concerne le navigateur, la valeur par défaut est le navigateur Android, mais si je change la valeur par défaut, il utilise Chrome tout aussi bien. On dirait qu'il n'utilise que le navigateur défini par défaut.

29voto

Firelord Points 23064

D'après le dépannage que le PO a effectué en suivant mes conseils, le coupable semble être une application système. comme un logiciel malveillant nommé Verrouillage du système avec le nom du paquet com.tihomobi.lockframe.syslocker . Le problème semble résulter d'une mise à jour du système, par certains utilisateurs de l'appareil.

Comme d'habitude avec une application système, si vous parvenez à utiliser l'option Désactiver option sous Paramètres Apps Apps système/Toutes les apps le coupable, alors par tous les moyens, désactivez cette application, arrêtez-la de force ou redémarrez votre Android. Le problème devrait rester résolu jusqu'à ce que vous réinitialisiez l'appareil.


Dépannage n°0

Avant de commencer par les étapes un peu techniques mentionnées ci-dessous, vous voudriez essayer une méthode plutôt solution conviviale Proposition de aquí . Si cela ne fonctionne pas pour vous, revenez et suivez le reste de ma réponse.


Dépannage n°1

Voici comment j'ai trouvé le coupable. L'outil intégré d'Android dumpsys indique notamment quelle application a été appelée par quelle autre application. L'appelant est désigné sous le nom de Calling Package.

A condition que vous ayez configuré adb y débogage de l'usb avec succès dans le PC et l'appareil Android, procédez comme suit :

  1. garder l'appareil connecté au PC

  2. redémarrez l'appareil ou arrêtez de force l'application de navigation par défaut.

  3. laisser le logiciel malveillant faire son travail, c'est-à-dire faire en sorte que le navigateur soit lancé automatiquement

  4. dès que le navigateur est lancé, ne faites rien avec l'appareil physiquement, mais exécutez la commande adb suivante sur le PC :

     adb shell dumpsys activity activities

Voici le sortie du dispositif de l'OP :

ACTIVITY MANAGER ACTIVITIES (dumpsys activity activities)
Display #0 (activities from top to bottom):
  Stack #1:
    Task id #2
    \* TaskRecord{8190ba1 #2 A=**android.task.browser** U=0 sz=1}
      userId=0 effectiveUid=u0a64 mCallingUid=u0a26 _mCallingPackage_\=**com.tihomobi.lockframe.syslocker**
      affinity=android.task.browser
      intent={act=android.intent.action.VIEW dat=http://im.apostback.com/click.php?c=362&key=9wl83884sg67y1acw3z56z90&s4=8%2FdNwcNuQFEjjaucho5IqA%3D%3D flg=0x10000000 pkg=com.android.browser cmp=com.android.browser/.BrowserActivity}
      realActivity=com.android.browser/.BrowserActivity
...
...
Hist #0: ActivityRecord{66cd59b u0 com.android.browser/.BrowserActivity t2}
          _packageName_\=**com.android.browser** processName=com.android.browser
          launchedFromUid=10026 _launchedFromPackage_\=**com.tihomobi.lockframe.syslocker** userId=0
          app=ProcessRecord{5ad1810 4337:com.android.browser/u0a64}
          Intent { act=android.intent.action.VIEW dat=**http://im.apostback.com/click.php?c=362&key=9wl83884sg67y1acw3z56z90&s4=8%2FdNwcNuQFEjjaucho5IqA%3D%3D** flg=0x10000000 pkg=com.android.browser cmp=com.android.browser/.BrowserActivity }

Dans la sortie : :

  • com.Android.browser est le nom du paquet du navigateur Android stocké dans votre appareil.
  • com.tihomobi.lockframe.syslocker est le nom du paquet de l'application malveillante et est appelé paquet d'appel.

Si vous avez trouvé le maliciel, évitez le dépannage suivant et passez à la rubrique Nuke the malware .


Dépannage n°2

(En réponse à un duplicata posté <a href="https://android.stackexchange.com/q/204334/96277">aquí </a>-- l'application coupable était <a href="https://play.google.com/store/apps/details?id=com.giantssoftware.fs18.google" rel="nofollow noreferrer">Farming Simulator 18 </a>)

Dans certaines circonstances, le dépannage susmentionné peut ne pas être utile, par exemple lorsque le nom du paquet appelant est le nom du paquet du navigateur lui-même indiqué dans la sortie de dumpsys. Dans ce cas, préférez logcat . Configurez logcat comme ceci :

adb logcat -v long,descriptive | grep "dat=http"   # you can grep anything from URL too. It is purely up to you.
adb logcat -v long,descriptive > logcat.txt        # alternative; if grep is not installed in your OS. You need to search into that file now.

Maintenant, déverrouillez l'appareil et laissez le navigateur avec cette URL se lancer automatiquement. Appuyez également sur Ctrl con C si vous enregistrez la sortie dans un fichier.

Le résultat que nous recherchons ressemblerait à ceci :

\[ 11-27 16:03:22.592  3499: 6536 I/ActivityManager \]
START u0 {act=android.intent.action.VIEW dat=https://livemobilesearch.com/... flg=0x10000000 pkg=org.mozilla.firefox cmp=org.mozilla.firefox/.App} 

from **uid 10021**
...

\[ 11-27 16:03:22.647  3499:15238 I/ActivityManager \]
START u0 {act=android.intent.action.VIEW dat=https://livemobilesearch.com/... pkg=org.mozilla.firefox cmp=org.mozilla.firefox/org.mozilla.gecko.BrowserApp} 

from **uid 10331**

Voir les deux UIDs 10021 et 10331 en surbrillance. L'un d'eux (ils seraient différents dans votre cas) correspond à l'application de navigation lancée, et l'autre à l'application malveillante qui demande cette URL. Alors, comment trouver ce qui est quoi ?

Si vous avez accès à Root c'est tout simplement le cas :

adb shell su -c 'ls -l /data/data/ | grep u0\_a**21**'
adb shell su -c 'ls -l /data/data/ | grep u0\_a**331**'

La sortie serait comme :

drwx------  5 u0\_a21    u0\_a21    4096 2018-01-01 10:31 **com.android.chrome**
drwx------  5 u0\_a331    u0\_a331    4096 2018-01-01 10:31 **com.tihomobi.lockframe.syslocker**

Si vous n'avez pas d'accès Root , do :

adb shell dumpsys package > packages_dump.txt

Maintenant, recherchez la ligne avec vos UIDs tels que "userId=10021" et "userId=10331". La ligne au-dessus de la ligne recherchée vous donnera le nom du paquet, et peut ressembler à quelque chose comme ceci :

Package \[**com.android.chrome**\] (172ca1a):
    userId=10021
...
Package \[**com.tihomobi.lockframe.syslocker**\] (172ca1a):
    userId=10331

Les deux noms de paquet sont com.Android.chrome (pour le navigateur Chrome -- certainement pas un malware) et com.tihomobi.lockframe.syslocker . Pour connaître le nom de l'application à partir du nom du paquet, utilisez ma réponse. aquí .


Nuke the malware

Maintenant que vous connaissez le coupable, vous pouvez le désactiver via l'interface graphique comme indiqué ci-dessus. Si cela n'est pas possible, faites :

adb shell pm disable-user PKG\_NAME  # disables the app
adb shell pm uninstall --user 0 PKG\_NAME # removes the app for primary user
adb shell am force-stop PKG\_NAME # only force-stops the app

Remplacer PKG_NAME avec le nom du paquet du logiciel malveillant que vous avez noté dans le dépannage ci-dessus.

Cela devrait faire l'affaire. En outre, vous pouvez également envisager de supprimer définitivement l'application malveillante pour tous les utilisateurs, mais cela nécessite un accès Root.

4voto

IgorN Points 31

Inspiré par la réponse de Firelord, j'ai enquêté sur logcat de manière très simple et j'ai trouvé le coupable immédiatement - c'était Barcode Scanner de l'équipe The space. Les étapes :

  1. J'ai connecté mon Galaxy Note 8 au PC, j'ai ouvert CMD et j'ai pris le logcat avec la commande de base à partir de l'invite CMD :

C:\Users\igorn > adb logcat > note8.1.log

  1. Dès que le nouvel onglet avec la page de spam a été ouvert, j'ai arrêté la capture du logcat immédiatement par Ctrl-C et j'ai cherché dans le log le mot "chrome" :

grep -i chrome note8.1.log

Les dix dernières lignes trouvées ont révélé le suspect :

02-03 09:43:14.443 3931 4232 D GameManagerService : handleForegroundChange(). pkgName : com.qrcodescanner.barcodescanner , clsName : kotovich.kotovich.kotovich.kotovich. .ScannerChromeActivity,FgActivityName:com.qrcodescanner.barcodescanner/kotovich.kotovich.kotovich.ScannerChromeActivity,userID:0

  1. Puis je suis allé dans la liste des applications dans les paramètres de l'appareil et j'ai vu le Barcode Scanner. Je l'ai vérifié sur GoolePlay et j'ai trouvé un grand nombre de critiques 1 étoile pour exactement le même comportement de malware ! J'ai également noté que cette application a été mise à jour il y a deux jours, ce qui correspond parfaitement au timing - le problème a commencé à apparaître il y a exactement deux jours ! Bingo !

  2. Je l'ai désinstallé et le problème a disparu ! Fin heureuse :)

À titre d'information uniquement : aucune des autres approches telles que l'installation de BitDefender, MalwareBytes, etc. n'a fonctionné pour moi, j'étais donc tout simplement heureux de régler ce problème ! Je vous remercie donc, Maître du feu !

4voto

J'avais le même problème et j'ai trouvé par hasard un moyen simple de le résoudre.

La première chose que j'ai faite, c'est de réinitialiser tous les navigateurs par défaut. Ainsi, si une application voulait ouvrir un navigateur, elle devait me demander la permission, puis je pouvais choisir le navigateur que je voulais utiliser.

Ensuite, j'ai installé un navigateur que je n'ai jamais utilisé... je suis allé dans ses paramètres et j'ai réinitialisé tous ses programmes par défaut aussi pour qu'il ne puisse pas se greffer sur le nouveau navigateur.

Ensuite, lorsqu'il m'a demandé de sélectionner le navigateur à utiliser, je lui ai indiqué le nouveau navigateur que j'avais installé et lui ai demandé de l'utiliser par défaut pour qu'il le mette dans le navigateur.

Je suis ensuite allé dans le navigateur et j'ai trouvé la seule application qui est configurée pour l'utiliser par défaut. Il m'a également montré la dernière fois qu'il a été utilisé par ce programme et cette fois correspondait au moment où j'ai demandé au spam d'utiliser le nouveau navigateur par défaut.

Dans mon cas, il s'agissait de mon lecteur de code QR... J'ai remarqué que son icône avait changé il y a quelques mois. Donc, soit il a été acheté par une société qui a changé son fonctionnement, soit la société a été piratée et il s'est éteint.

Et en ce qui concerne le navigateur, j'ai utilisé le navigateur Samsung, mais je suis sûr que la réinitialisation d'entre eux aura cette dernière partie utilisée pour le rendre plus facile pour vous à traquer.

J'espère que cela vous aidera. :-)

0voto

Josh Ross Points 156

Un peu plus d'informations sont nécessaires pour résoudre le problème, mais je vais essayer de trouver les problèmes possibles. Quel navigateur ? Quel modèle de téléphone ? A-t-il été acheté auprès de sources officielles ?

En théorie, la réinitialisation d'usine aurait dû vous aider à résoudre le problème. Comme ce n'est pas le cas, il y a d'autres endroits où vous pouvez obtenir une forme de logiciel publicitaire. Tout d'abord, vous avez dit désinstaller certaines applications ? Quelles applications en particulier ? Le problème est-il apparu après l'installation d'un logiciel particulier ?

Est-ce votre wifi ou utilisez-vous un wifi public ? S'il est public, les entreprises envoient généralement des demandes d'installation d'applications et de publicités par le biais du wifi assez souvent. Si vous vivez dans/près d'une zone très fréquentée, je ne serais pas surpris que ce soit juste quelqu'un qui utilise le wifi pour faire de la publicité pour son produit. Essayez d'utiliser un autre réseau wifi ou celui de quelqu'un d'autre, et voyez si le problème persiste. Si ce n'est pas le cas. Il s'agit d'un problème lié au réseau que vous utilisez, ce qui signifie que vous devrez très probablement en changer. Vous pouvez essayer de contacter votre fournisseur d'accès pour qu'il vous aide (j'ai déjà eu un problème de ce genre, mes fournisseurs d'accès m'ont aidé après avoir contacté l'assistance). Vérifiez également si le réseau mobile présente le même problème. Si ce n'est pas le cas, vous pouvez alors changer le réseau que vous utilisez actuellement.

androidalle.com

AndroidAlle est une communauté de androiders où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X