Как узнать, какое приложение пытается открыть спам-сайты?


11

Я недавно купил новый Android-смартфон. После настройки и загрузки своих контактов я подумал, что так и будет.

Теперь, спустя несколько дней, каждый раз, когда я разблокирую телефон, требуется несколько секунд, чтобы открыть браузер по умолчанию и открыть какой-либо спам-сайт. Я пытался понять, что вызвало это. Я удалил все приложения, которым не мог доверять, но проблема осталась. После попытки решить ее в течение некоторого времени я сдался и сбросил телефон к заводским настройкам. Теперь после сброса настроек до значения по умолчанию он работал без проблем примерно неделю, прежде чем проблема снова появилась.

Я попытался удалить некоторые приложения, чтобы узнать, не являются ли они причиной этого, но после этого ничего не изменилось. Однако я заметил, что если я отключу Wi-Fi, он даже не будет пытаться открыть браузер (я не пробовал мобильные данные, так как у меня нет пакета). Это заставляет меня чувствовать, что это может быть связано с чем-то в сети, но это не объясняет, почему проблема возникает только с этим телефоном, если в той же сети есть как минимум 6 телефонов Android.

Я надеюсь, что есть кто-то, кто может помочь мне найти причину этой проблемы и помочь мне решить ее.

TL; DR При разблокировке телефона он открывает браузер и пытается открыть веб-сайт для рассылки спама. Но только делает это при подключении к Wi-Fi.

Вещи, которые я пробовал до сих пор:

  • Сброс к заводским настройкам (помог только в течение ограниченного времени)
  • Очистка кеша браузера и всех связанных данных
  • Удаление любого приложения, которое я не знаю, чтобы быть надежным
  • Попытка найти, что это вызывает (кажется, что требуется какой-то тип подключения к Интернету ??)

Устройство Doogee Shoot 1. Что касается браузера, по умолчанию установлен браузер Android, но если я изменю его по умолчанию, он также будет использовать Chrome. Кажется, на самом деле просто использовать браузер, который установлен по умолчанию.


@beeshyams Я пытался очистить данные браузера несколько раз, и если очистка этого не сделала, сброс настроек должен был разрешить куки, но он просто вернулся через некоторое время.
maam27

3
@beeshyams вредоносная программа не обязательно превращает ее в системное приложение (например, это не объясняет, почему потребовалась неделя после сброса к заводским настройкам для повторного появления проблемы). Я бы проверил наличие приложений со слушателями для широковещательной разблокировки экрана, чтобы сузить кандидатов (см .: обнаружение события разблокировки телефона , лучшим кандидатом, кажется, является Intent.ACTION_USER_PRESENT).
Иззи

@izzy: действительная точка. Спасибо. Разве это не означает, что ему придется удалить все пользовательские приложения, чтобы упростить изоляцию после резервного копирования данных?
beeshyams

1
@beeshyams Я не сказал «удалить» - я написал проверку на наличие приложений, у которых установлен такой прослушиватель, а затем сначала разбираюсь с ними. Посмотрите информацию о приложениях ( Playstore / FDroid / screenshot , отметьте здесь «Receivers»).
Иззи

1
@ Иззи, можно ли пойти в чат и посмотреть, сможем ли мы найти проблему, сделав это? так как это также будет держать комментарии немного короче
maam27

Ответы:


19

Основываясь на устранении неполадок, которые OP предпринял, следуя моим советам, виновником оказалось системное приложение, представляющее собой вредоносную программу с именем System Locker с именем пакета com.tihomobi.lockframe.syslocker . Эта проблема, по-видимому, является результатом обновления системы для некоторых пользователей устройства.

Как обычно в случае с системным приложением, если вы используете опцию Отключить в разделе Настройки → Приложения → Системные приложения / Все приложения → виновник, то непременно отключите это приложение, принудительно остановите его или перезагрузите Android. Проблема должна быть решена до тех пор, пока вы не перезагрузите устройство.


Решение проблем № 1

Вот как я узнал виновника. Встроенный в Android инструмент dumpsys, помимо прочего, показывает, какое приложение было вызвано каким другим приложением. Звонящий называется Пакетом вызова.

При условии, что вы успешно настроили и на ПК и устройстве Android, сделайте следующее:

  1. держать устройство подключенным к ПК
  2. перезагрузите устройство или принудительно остановите это браузерное приложение по умолчанию
  3. пусть вредоносная программа выполнит свою работу, то есть автоматически запустит браузер
  4. как только браузер будет запущен, физически ничего не делайте с устройством, а на компьютере выполните следующую команду adb:

    adb shell dumpsys activity activities
    

Вот вывод с устройства ОП :

ДЕЯТЕЛЬНОСТЬ УПРАВЛЕНИЯ ДЕЯТЕЛЬНОСТЬЮ
Дисплей № 0 (действия сверху вниз):
  Стек № 1:
    Идентификатор задачи № 2
    * TaskRecord {8190ba1 # 2 A = android.task.browser U = 0 sz = 1}
      userId = 0ffectiveUid = u0a64 mCallingUid = u0a26 mCallingPackage = com.tihomobi.lockframe.syslocker
      Сродство = android.task.browser
      intent = {act = android.intent.action.VIEW dat = http: //im.apostback.com/click.php? c = 362 & key = 9wl83884sg67y1acw3z56z90 & s4 = 8% 2FdNwcNuQFEjjaucho5IqA% 3D% 3D-теги pg = 0x100. browser cmp = com.android.browser / .BrowserActivity}
      realActivity = com.android.browser / .BrowserActivity
...
...
Hist # 0: ActivityRecord {66cd59b u0 com.android.browser / .BrowserActivity t2}
          packageName = com.android.browser processName = com.android.browser
          launchedFromUid = 10026 launchedFromPackage = com.tihomobi.lockframe.syslocker идентификатор пользователя = 0
          app = ProcessRecord {5ad1810 4337: com.android.browser / u0a64}
          Intent {act = android.intent.action.VIEW dat = http://im.apostback.com/click.php?c=362&key=9wl83884sg67y1acw3z56z90&s4=8%2FdNwcNuQFEjjaucho5IqA%3D%3D flg = 0bk. cmp = com.android.browser / .BrowserActivity}

На выходе:

  • com.android.browser - имя пакета стандартного браузера Android на вашем устройстве.
  • com.tihomobi.lockframe.syslocker - это имя пакета вредоносного приложения, которое называется вызывающим пакетом.

Если вы обнаружили вредоносное ПО, избегайте следующего устранения неполадок и перейдите к разделу Nuke the malware .


Решение проблем № 2

(В ответ на дубликат, размещенный здесь - виновным было приложение Farming Simulator 18 )

В определенных обстоятельствах вышеуказанное устранение неполадок может не помочь, например, при вызове имени пакета имя пакета самого браузера отображается в выводе dumpsys. В этом случае предпочтите . Настройте logcat следующим образом:

adb logcat -v длинный, описательный | grep "dat = http" # Вы также можете получить что-нибудь из URL. Это зависит только от вас.
adb logcat -v long, описательный> logcat.txt # альтернатива; если grep не установлен в вашей ОС. Вы должны искать в этом файле сейчас.

Теперь разблокируйте устройство и разрешите автоматический запуск браузера с этим URL. Кроме того , нажмите Ctrlс , Cесли вы сохраняете вывод в файл.

Результат, который мы ищем, будет выглядеть примерно так:

[11-27 16: 03: 22,592 3499: 6536 I / ActivityManager]
НАЧАТЬ u0 {act = android.intent.action.VIEW dat = https: //livemobilesearch.com / ... flg = 0x10000000 pkg = org.mozilla.firefox cmp = org.mozilla.firefox / .App} 

от UID 10021
...

[11-27 16: 03: 22,647 3499: 15238 I / ActivityManager]
НАЧАТЬ u0 {act = android.intent.action.VIEW dat = https: //livemobilesearch.com / ... pkg = org.mozilla.firefox cmp = org.mozilla.firefox / org.mozilla.gecko.BrowserApp} 

от UID 10331

См. Два выделенных идентификатора UID 10021 и 10331. Один из них (в вашем случае они будут другими) относится к запущенному приложению браузера, а одно из них - вредоносное приложение, запрашивающее этот URL. Итак, как найти что к чему?

Если у вас есть root-доступ , просто выполните:

оболочка adb su -c 'ls -l / data / data / | grep u0_a 21 '
оболочка adb su -c 'ls -l / data / data / | grep u0_a 331 '

Вывод будет выглядеть так:

drwx ------ 5 u0_a21 u0_a21 4096 2018-01-01 10:31 com.android.chrome 
drwx ------ 5 u0_a331 u0_a331 4096 2018-01-01 10:31 com.tihomobi.lockframe.syslocker

Если у вас нет прав root , выполните:

adb shell dumpsys package > packages_dump.txt

Теперь найдите строку с вашими UID, такими как «userId = 10021» и «userId = 10331». Строка над искомой строкой даст вам имя пакета и может выглядеть примерно так:

Пакет [ com.android.chrome ] (172ca1a):
    = 10021 идентификатор пользователя
...
Пакет [ com.tihomobi.lockframe.syslocker ] (172ca1a):
    = 10331 идентификатор пользователя

Два имени пакета: com.android.chrome (для браузера Chrome - конечно, не вредоносная программа) и com.tihomobi.lockframe.syslocker . Чтобы узнать название приложения из названия пакета, используйте мой ответ здесь .


Ядерная вредоносная программа

Теперь, когда вы знаете виновника, вы можете отключить его через графический интерфейс, как указано выше. Если это невозможно, сделайте:

adb shell pm disable-user PKG_NAME # отключает приложение
adb shell pm uninstall --user 0 PKG_NAME # удаляет приложение для основного пользователя
Оболочка adb am force-stop PKG_NAME # только принудительно останавливает приложение

Замените PKG_NAME именем пакета вредоносного ПО, которое вы указали в вышеупомянутом устранении неполадок.

Это должно делать свое дело. Кроме того, вы также можете удалить навсегда вредоносное приложение для всех пользователей, но для этого требуется root-доступ.


1
Спасибо за то, что приняли чат, где мне пришлось уйти - и отличный анализ +1! Узнал что-то новое об dumpsysэтом :)
Иззи

@ Изя, я рада, что тебе нравится. :)
Повелитель

+1 Хорошее глубокое копание 👍
Ирфан Латиф

@ IrfanLatif спасибо.
Повелитель

0

Немного больше информации, необходимой для решения проблемы, хотя я попытаюсь найти возможные проблемы. Какой браузер? Какая модель телефона? Это было куплено из официальных источников?

Теоретически сброс настроек должен был помочь вам в этом вопросе. Так как этого не произошло, есть еще пара мест, где вы можете получить рекламное ПО в той или иной форме. Прежде всего, вы сказали, что удаление некоторых приложений? Какие приложения в частности? Появилось ли оно после установки определенного программного обеспечения?

Это твой вайфай или ты общедоступный? Если это общедоступный, обычно компании отправляют запросы на установку приложений и рекламу через Wi-Fi относительно часто. Если вы живете в / около оживленного района, не удивитесь, если это будет кто-то, кто будет рекламировать свой продукт. Попробуйте использовать другой Wi-Fi или чужой Wi-Fi, посмотрите, сохраняется ли проблема. Если это не так. Это проблема используемой сети, поэтому вам, скорее всего, придется измениться. Вы можете попытаться связаться с вашим провайдером, чтобы помочь вам в этом (если бы у меня была такая проблема, поставщики услуг Интернета помогли мне после обращения в службу поддержки). Кроме того, посмотрите, если мобильная сеть показывает ту же проблему. Если этого не произойдет, то вы можете изменить сеть, которую вы используете в настоящее время.


Все приложения, которые я имел в виду, были установлены из магазина приложений, но я понимаю, что не все из них могут быть безопасными в любое время, и иногда вещи выходят из-под его безопасности. поэтому я попытался удалить некоторые, которые я не знал, были ли они полностью безопасны или нет. Что касается интернета, то это частная сеть, и я не живу в людном месте. Но поскольку я использую карту Pre-Paid, это означает, что попытка получить мобильную информацию становится дорогой. Я мог бы попробовать что-то, используя компьютер в качестве точки доступа, посмотреть, есть ли разница между Wi-Fi напрямую.
maam27
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.