Bagaimana cara mengetahui aplikasi mana yang mencoba membuka situs web spam?

11

Saya baru saja membeli smartphone Android baru. Setelah mengatur dan memuat kontak saya ke dalamnya saya pikir itu akan terjadi.

Sekarang setelah beberapa hari, setiap kali saya membuka kunci telepon, diperlukan beberapa detik sebelum membuka browser default dan membuka beberapa situs web spam. Saya mencoba melihat apa yang menyebabkannya. Saya menghapus semua aplikasi yang saya tidak tahu bisa saya percayai, tetapi masalahnya tetap ada. Setelah mencoba menyelesaikannya selama beberapa waktu, saya menyerah dan mengatur ulang telepon ke pengaturan standar pabrik. Sekarang setelah reset ke default itu berjalan tanpa masalah selama kira-kira seminggu sebelum masalah muncul kembali.

Saya mencoba mencopot beberapa aplikasi untuk melihat apakah penyebabnya, tetapi tidak ada yang berubah setelah melakukannya. Namun saya memperhatikan bahwa jika saya mematikan wifi, ia bahkan tidak akan mencoba membuka browser (saya belum mencoba data seluler karena saya tidak memiliki bundel). Ini membuat saya merasa itu mungkin terkait dengan sesuatu di jaringan tetapi itu tidak akan menjelaskan mengapa hanya telepon itu yang memiliki masalah ketika setidaknya ada 6 ponsel android di jaringan yang sama.

Saya berharap ada seseorang yang dapat membantu saya menemukan penyebab masalah ini dan membantu saya menyelesaikannya.

TL; DR Saat membuka kunci ponsel saya, itu membuka browser dan mencoba untuk membuka situs web spam. Tetapi hanya melakukannya saat terhubung ke wifi.

Hal yang saya coba sejauh ini:

  • Reset pabrik (hanya membantu untuk waktu terbatas)
  • Menghapus cache browser dan semua data terkait
  • Menghapus aplikasi apa pun yang saya tahu tidak bisa diandalkan
  • Mencoba menemukan apa yang memicu itu (sepertinya diperlukan beberapa jenis koneksi internet ??)

Perangkat itu adalah Doogee Shoot 1. Sedangkan untuk peramban, defaultnya diatur menjadi peramban Android, tetapi jika saya mengubah default, ia akan menggunakan Chrome juga. Sepertinya benar-benar hanya menggunakan browser yang diatur ke default.

Bu27
sumber
@beeshyams saya telah mencoba untuk menghapus data browser beberapa kali, dan jika membersihkan yang tidak melakukannya maka reset pabrik seharusnya telah memecahkan cookie tetapi hanya kembali beberapa waktu kemudian.
maam27
3
@beeshyams, malware tidak serta-merta membuatnya menjadi aplikasi sistem (mis. itu tidak akan menjelaskan mengapa perlu seminggu setelah reset pabrik agar masalah muncul kembali). Saya akan memeriksa aplikasi dengan pendengar siaran pembukaan kunci layar untuk mempersempit kandidat (lihat: mendeteksi acara buka kunci ponsel , kandidat terbaik tampaknya Intent.ACTION_USER_PRESENT).
Izzy
@izzy: Poin yang valid. Terima kasih. Bukankah itu berarti dia harus menghapus semua aplikasi pengguna sebagai cara mudah untuk mengisolasi setelah membuat cadangan data?
beeshyams
1
@beeshyams Saya tidak mengatakan "uninstall" - Saya menulis cek untuk aplikasi yang memiliki pendengar seperti itu, dan kemudian pertama-tama berurusan dengan mereka secara eksplisit. Lihatlah Info Aplikasi ( Playstore / FDroid / tangkapan layar , centang "Penerima" di sini).
Izzy
1
@Izzy, mungkinkah pergi ke obrolan dan melihat apakah kami dapat menemukan masalah dengan melakukannya? karena itu juga akan menjaga komentar sedikit lebih pendek
maam27

Jawaban:

19

Berdasarkan pemecahan masalah OP tidak mengikuti saran saya, pelakunya tampaknya menjadi aplikasi sistem sebagai malware bernama System Locker dengan nama paket com.tihomobi.lockframe.syslocker . Masalah ini tampaknya merupakan hasil dari pembaruan sistem, per beberapa pengguna perangkat.

Seperti biasa dengan aplikasi sistem, jika Anda bisa menggunakan opsi Nonaktifkan di bawah Pengaturan → Aplikasi → Aplikasi sistem / Semua aplikasi → pelakunya, daripada dengan segala cara, matikan aplikasi itu, paksa-hentikan atau reboot Android. Masalahnya harus diselesaikan sampai Anda mengatur ulang perangkat.


Pemecahan masalah # 1

Inilah cara saya menemukan pelakunya. Alat Android built-in dumpsys antara lain menunjukkan aplikasi mana yang dipanggil oleh aplikasi lain mana. Penelepon disebut sebagai Paket Panggilan.

Asalkan Anda berhasil mensetup dan di PC dan perangkat Android, lakukan hal berikut:

  1. menjaga perangkat terhubung ke PC
  2. reboot perangkat atau paksa paksa aplikasi browser default itu
  3. biarkan malware melakukan tugasnya, yaitu, browser diluncurkan secara otomatis
  4. segera setelah browser diluncurkan, jangan lakukan apa pun dengan perangkat secara fisik, tetapi jalankan perintah adb berikut di PC:

    adb shell dumpsys activity activities
    

Inilah output dari perangkat OP :

AKTIVITAS MANAJER KEGIATAN (aktivitas aktivitas dumpsys)
Tampilan # 0 (kegiatan dari atas ke bawah):
  Tumpukan # 1:
    Id tugas # 2
    * TaskRecord {8190ba1 # 2 A = android.task.browser U = 0 sz = 1}
      userId = 0 efektifUid = u0a64 mCallingUid = u0a26 mCallingPackage = com.tihomobi.lockframe.syslocker
      afinitas = android.task.browser
      intent = {act = android.intent.action.VIEW dat = http: //im.apostback.com/click.php? c = 362 & key = 9wl83884sg67y1acw3z56z90 & s4 = 8% 2FdNwcNuQFEjjaucho5IqA% 3D% 3D flg = 0x10000000kgkg. browser cmp = com.android.browser / .BrowserActivity}
      realActivity = com.android.browser / .BrowserActivity
...
...
Hist # 0: ActivityRecord {66cd59b u0 com.android.browser / .BrowserActivity t2}
          packageName = com.android.browser processName = com.android.browser
          diluncurkanFromUid = 10026 diluncurkanFromPackage = com.tihomobi.lockframe.syslocker userId = 0
          app = ProcessRecord {5ad1810 4337: com.android.browser / u0a64}
          Niat {act = android.intent.action.VIEW dat = http://im.apostback.com/click.php?c=362&key=9wl83884sg67y1acw3z56z90&s4=8%2FdNwcNuQFEjjaucho5IqA%3D%3D flg = 0x100000kgkg.mb0000 cmp = com.android.browser / .BrowserActivity}

Dalam output::

  • com.android.browser adalah nama paket browser Android stok di perangkat Anda
  • com.tihomobi.lockframe.syslocker adalah nama paket dari aplikasi malware dan disebut sebagai paket panggilan.

Jika Anda menemukan malware, hindari pemecahan masalah berikutnya dan lewati ke judul Nuke the malware .


Pemecahan masalah # 2

(Menanggapi duplikat diposting di sini - aplikasi pelakunya adalah Farming Simulator 18 )

Dalam keadaan tertentu, pemecahan masalah yang disebutkan di atas mungkin tidak dapat membantu, seperti saat memanggil nama paket adalah nama paket browser itu sendiri yang ditampilkan dalam output dumpsys. Dalam hal ini, lebih suka . Setup logcat seperti ini:

adb logcat -v panjang, deskriptif | grep "dat = http" # Anda juga dapat grep dari URL. Ini sepenuhnya terserah Anda.
adb logcat -v long, deskriptif> logcat.txt # alternative; jika grep tidak diinstal di OS Anda. Anda perlu mencari file itu sekarang.

Sekarang buka kunci perangkat dan biarkan browser dengan URL itu diluncurkan secara otomatis. Juga, tekan Ctrldengan Cjika Anda menyimpan output ke file.

Output yang kami cari akan terlihat mirip dengan:

[11-27 16: 03: 22.592 3499: 6536 I / ActivityManager]
MULAI Anda {act = android.intent.action.VIEW dat = https: //livemobilesearch.com / ... flg = 0x10000000 pkg = org.mozilla.firefox cmp = org.mozilla.firefox / .App} 

dari uid 10021
...

[11-27 16: 03: 22.647 3499: 15238 I / ActivityManager]
MULAI Anda {act = android.intent.action.VIEW dat = https: //livemobilesearch.com / ... pkg = org.mozilla.firefox cmp = org.mozilla.firefox / org.mozilla.gecko.BrowserApp} 

dari uid 10331

Lihat dua UID yang disorot 10021 dan 10331. Salah satunya (akan berbeda dalam kasus Anda) adalah untuk aplikasi browser yang diluncurkan, dan salah satunya adalah aplikasi malware yang meminta URL itu. Lantas, bagaimana menemukan apa itu?

Jika Anda telah mengakses root , cukup lakukan:

adb shell su -c 'ls -l / data / data / | grep u0_a 21 '
adb shell su -c 'ls -l / data / data / | grep u0_a 331 '

Output akan seperti:

drwx ------ 5 u0_a21 u0_a21 4096 2018-01-01 10:31 com.android.chrome 
drwx ------ 5 u0_a331 u0_a331 4096 2018-01-01 10:31 com.tihomobi.lockframe.syslocker

Jika Anda tidak memiliki akses root , lakukan:

adb shell dumpsys package > packages_dump.txt

Sekarang cari baris dengan UID Anda seperti "userId = 10021" dan "userId = 10331". Baris di atas baris yang dicari akan memberi Anda nama paket, dan mungkin terlihat seperti ini:

Paket [ com.android.chrome ] (172ca1a):
    userId = 10021
...
Paket [ com.tihomobi.lockframe.syslocker ] (172ca1a):
    userId = 10331

Kedua nama paket tersebut adalah com.android.chrome (untuk browser Chrome - tentu saja bukan malware) dan com.tihomobi.lockframe.syslocker . Untuk mengetahui nama aplikasi dari nama paket, gunakan jawaban saya di sini .


Batalkan malware

Sekarang Anda tahu penyebabnya, Anda dapat menonaktifkannya melalui GUI seperti yang disebutkan di atas. Jika itu tidak mungkin, lakukan:

adb shell pm menonaktifkan-pengguna # PKG_NAME menonaktifkan aplikasi
hapus adb shell pm --user 0 PKG_NAME # menghapus aplikasi untuk pengguna utama
adb shell am force-stop PKG_NAME # hanya memaksa-berhenti aplikasi

Ganti PKG_NAME dengan nama paket malware yang Anda catat dalam pemecahan masalah di atas.

Itu harus melakukan trik. Selain itu, Anda juga dapat mempertimbangkan untuk menghapus aplikasi malware secara permanen untuk semua pengguna, tetapi itu membutuhkan akses root.

Firelord
sumber
1
Terima kasih telah mengambil alih obrolan tempat saya harus pergi - dan analisis yang hebat, +1! Belajar hal baru tentang dumpsysitu :)
Izzy
@Izzy, aku senang kamu menyukainya. :)
Firelord
+1 Penggalian dalam yang bagus 👍
Irfan Latif
@IrfanLatif terima kasih.
Firelord
0

Sedikit lebih banyak informasi yang diperlukan untuk menyelesaikan masalah ini, walaupun saya akan berusaha menemukan kemungkinan masalahnya. Browser yang mana? Model ponsel apa? Apakah dibeli dari sumber resmi?

Secara teori factory reset seharusnya membantu Anda dengan masalah ini. Karena tidak, ada beberapa tempat lagi di mana Anda bisa mendapatkan beberapa bentuk adware. Pertama-tama, Anda mengatakan mencopot pemasangan beberapa aplikasi? Aplikasi mana yang khususnya? Apakah itu muncul setelah menginstal perangkat lunak tertentu?

Apakah ini wifi Anda atau Anda menggunakan yang publik? Jika publik, biasanya perusahaan mengirim pemasangan aplikasi dan permintaan iklan melalui wifi relatif sering. Jika Anda tinggal di / dekat daerah sibuk, tidak akan terkejut jika itu hanya seseorang yang menggunakan untuk mengiklankan produk mereka. Coba gunakan wifi yang berbeda atau wifi orang lain, lihat apakah masalahnya masih ada. Jika tidak. Ini adalah masalah dengan jaringan yang Anda gunakan, yang berarti kemungkinan besar Anda perlu berubah. Anda dapat mencoba menghubungi penyedia Anda untuk membantu Anda dengan itu (Punya masalah seperti itu sebelumnya, penyedia ISP saya membantu saya setelah menghubungi dukungan). Juga, lihat apakah jaringan seluler menunjukkan masalah yang sama. Jika tidak, maka pilihan Anda adalah mengubah jaringan yang sedang Anda gunakan.

Josh Ross
sumber
Aplikasi yang saya maksud semuanya diinstal dari appstore tetapi saya menyadari bahwa tidak semuanya aman setiap saat dan terkadang semuanya melewati keamanannya. jadi saya mencoba untuk menghapus beberapa yang saya tidak tahu apakah mereka benar-benar aman atau tidak. Adapun internet, itu adalah jaringan pribadi dan saya tidak tinggal di daerah yang ramai. Tapi karena saya menggunakan kartu Pra-bayar berarti mencoba data seluler menjadi mahal. Saya mungkin mencoba sesuatu menggunakan pc sebagai hotspot untuk melihat apakah ada perbedaan dari wifi secara langsung.
maam27