Di recente ho acquistato un nuovo smartphone Android. Dopo averlo impostato e aver caricato i miei contatti su di esso, ho pensato che sarebbe stato così.

Ora dopo alcuni giorni, ogni volta che sblocco il telefono ci vogliono alcuni secondi prima che apra il browser predefinito e apra un sito Web di spam. Ho provato a vedere cosa lo stava causando. Ho rimosso tutte le app di cui non sapevo potermi fidare, ma il problema persisteva. Dopo aver provato a risolverlo per qualche tempo, ho rinunciato e ripristinato il telefono alle impostazioni di fabbrica. Ora, dopo averlo ripristinato ai valori predefiniti, è stato eseguito senza problemi per circa una settimana prima che riapparisse il problema.

Ho provato a disinstallare alcune app per vedere se fossero la causa, ma nulla è cambiato dopo averlo fatto. Tuttavia ho notato che se spengo il wifi non proverà nemmeno ad aprire il browser (non ho provato i dati mobili poiché non ho un bundle). Questo mi fa pensare che potrebbe essere correlato a qualcosa sulla rete, ma ciò non spiegherebbe perché solo quel telefono avrebbe il problema quando ci sono almeno 6 telefoni Android su quella stessa rete.

Spero che ci sia qualcuno che possa aiutarmi a trovare la causa di questo problema e aiutarmi a risolverlo.

TL; DR Quando si sblocca il mio telefono, apre il browser e tenta di aprire un sito Web di spam. Ma lo fa solo mentre sei connesso al wifi.

Cose che ho provato finora:

• Ripristino delle impostazioni di fabbrica (solo per un periodo di tempo limitato)
• Svuotare la cache del browser e tutti i dati correlati
• Rimozione di qualsiasi app che non conosco affidabile
• Tentativo di trovare ciò che lo attiva (sembra che sia necessario un qualche tipo di connessione a Internet ??)

Il dispositivo è Doogee Shoot 1. Per quanto riguarda il browser, l'impostazione predefinita è il browser Android, ma se cambio l'impostazione predefinita userebbe anche Chrome. Sembra proprio di usare il browser impostato come predefinito.

Sulla base dell'OP per la risoluzione dei problemi fatto seguendo i miei consigli, il colpevole sembrava essere un'app di sistema come un malware chiamato System Locker con il nome del pacchetto com.tihomobi.lockframe.syslocker . Il problema sembra essere il risultato di un aggiornamento del sistema, per alcuni utenti del dispositivo.

Come al solito con un'app di sistema, se riesci a utilizzare l' opzione Disabilita in Impostazioni → App → App di sistema / Tutte le app → il colpevole, rispetto a tutti i mezzi, disabilita quell'app, forzala o riavvia Android. Il problema dovrebbe essere risolto fino al ripristino delle impostazioni di fabbrica del dispositivo.

Risoluzione dei problemi n. 1

Ecco come ho scoperto il colpevole. Lo strumento Android integrato dumpsys mostra tra l'altro quale app è stata chiamata da quale altra app. Il chiamante viene chiamato Pacchetto chiamate.

A condizione che tu abbia configurato correttamente adb e il debug USB nel PC e nel dispositivo Android, procedi come segue:

1. mantenere il dispositivo collegato al PC
2. riavviare il dispositivo o forzare l'arresto dell'applicazione browser predefinita
3. lasciare che il malware faccia il suo lavoro, ovvero avviare automaticamente il browser

4. non appena viene avviato il browser, non eseguire alcuna operazione fisica con il dispositivo, ma eseguire il seguente comando adb su PC:

   adb shell dumpsys activity activities
   

Ecco l' output dal dispositivo OP :

ATTIVITÀ DEL MANAGER DI ATTIVITÀ (attività di attività di discariche)
Display # 0 (attività dall'alto verso il basso):
  Stack n. 1:
    ID attività n. 2
    * TaskRecord {8190ba1 # 2 A = android.task.browser U = 0 sz = 1}
      userId = 0 actualUid = u0a64 mCallingUid = u0a26 mCallingPackage = com.tihomobi.lockframe.syslocker
      affinità = android.task.browser
      intent = {act = android.intent.action.VIEW dat = http: //im.apostback.com/click.php? c = 362 & key = 9wl83884sg67y1acw3z56z90 & s4 = 8% 2FdNwcNuQFEjjaucho5IqA% 3D% 3D flg = 0x10000000 pkg = com. browser cmp = com.android.browser / .BrowserActivity}
      realActivity = com.android.browser / .BrowserActivity
...
...
Hist # 0: ActivityRecord {66cd59b u0 com.android.browser / .BrowserActivity t2}
          packageName = com.android.browser processName = com.android.browser
          launchedFromUid = 10026 launchedFromPackage = com.tihomobi.lockframe.syslocker userId = 0
          app = ProcessRecord {5ad1810 4337: com.android.browser / u0a64}
          Intent {act = android.intent.action.VIEW dat = http://im.apostback.com/click.php?c=362&key=9wl83884sg67y1acw3z56z90&s4=8%2FdNwcNuQFEjjaucho5IqA%3D%3D flg = 0x10000000 pkg =rows.and cmp = com.android.browser / .BrowserActivity}

Nell'output::

• com.android.browser è il nome del pacchetto del browser Android di serie nel tuo dispositivo
• com.tihomobi.lockframe.syslocker è il nome del pacchetto dell'app malware e viene chiamato pacchetto chiamante.

Se hai trovato il malware, evita la prossima risoluzione dei problemi e passa alla voce Nuke il malware .

Risoluzione dei problemi n. 2

_{(In risposta a un duplicato pubblicato qui - l'app colpevole era Farming Simulator 18 )}

In alcune circostanze, la risoluzione dei problemi di cui sopra potrebbe non essere di aiuto, ad esempio quando si chiama il nome del pacchetto è il nome del pacchetto del browser stesso mostrato nell'output di dumpsys. In tal caso, preferisci logcat . Configurare logcat in questo modo:

adb logcat -v lungo, descrittivo | grep "dat = http" # puoi grep qualsiasi cosa anche dall'URL. Dipende solo da te.
adb logcat -v lungo, descrittivo> logcat.txt # alternativo; se grep non è installato nel tuo sistema operativo. Devi cercare quel file ora.

Ora sblocca il dispositivo e avvia automaticamente il browser con quell'URL. Inoltre, premere Ctrlcon Cse si sta salvando l'output in un file.

L'output che stiamo cercando sarebbe simile a:

[11-27 16: 03: 22.592 3499: 6536 I / ActivityManager]
INIZIA u0 {act = android.intent.action.VIEW dat = https: //livemobilesearch.com / ... flg = 0x10000000 pkg = org.mozilla.firefox cmp = org.mozilla.firefox / .App} 

da uid 10021
...

[11-27 16: 03: 22.647 3499: 15238 I / ActivityManager]
INIZIA u0 {act = android.intent.action.VIEW dat = https: //livemobilesearch.com / ... pkg = org.mozilla.firefox cmp = org.mozilla.firefox / org.mozilla.gecko.BrowserApp} 

dal n. 10331

Vedi i due UID evidenziati 10021 e 10331. Uno di questi (sarebbero diversi nel tuo caso) è per l'app del browser avviata e uno di questi è l'app di malware che richiede quell'URL. Quindi, come trovare cosa è cosa?

Se hai l'accesso come root , fai semplicemente:

shell adb su -c 'ls -l / data / data / | grep u0_a 21 '
shell adb su -c 'ls -l / data / data / | grep u0_a 331 '

L'output sarebbe come:

drwx ------ 5 u0_a21 u0_a21 4096 2018-01-01 10:31 com.android.chrome 
drwx ------ 5 u0_a331 u0_a331 4096 2018-01-01 10:31 com.tihomobi.lockframe.syslocker

Se non si dispone dell'accesso root , fare:

adb shell dumpsys package > packages_dump.txt

Ora cerca la linea con i tuoi UID come "userId = 10021" e "userId = 10331". La riga sopra la riga cercata ti darebbe il nome del pacchetto e potrebbe assomigliare a questa:

Pacchetto [ com.android.chrome ] (172ca1a):
    userId = 10021
...
Pacchetto [ com.tihomobi.lockframe.syslocker ] (172ca1a):
    userId = 10331

I due nomi dei pacchetti sono com.android.chrome (per il browser Chrome, sicuramente non un malware) e com.tihomobi.lockframe.syslocker . Per conoscere il nome dell'app dal nome del pacchetto, usa la mia risposta qui .

Nuke il malware

Ora che conosci il colpevole, puoi disabilitarlo tramite la GUI come indicato sopra. Se ciò non è possibile, fare:

adb shell pm disable-user PKG_NAME # disabilita l'app
adb shell pm uninstall --user 0 PKG_NAME # rimuove l'app per l'utente principale
shell adb am force-stop PKG_NAME # forza solo l'arresto dell'app

Sostituisci PKG_NAME con il nome del pacchetto del malware che hai notato nella risoluzione dei problemi sopra.

Questo dovrebbe fare il trucco. Inoltre, puoi anche considerare di rimuovere l'app malware in modo permanente per tutti gli utenti, ma ciò richiede comunque l'accesso come root.

Un po 'più di informazioni necessarie per risolvere il problema, anche se cercherò di trovare i possibili problemi. Quale browser? Quale modello di telefono? È stato acquistato da fonti ufficiali?

In teoria il ripristino delle impostazioni di fabbrica avrebbe dovuto aiutarti con il problema. Dal momento che non è così, ci sono un altro paio di posti in cui è possibile ottenere una forma di adware. Prima di tutto, hai detto di disinstallare alcune app? Quali app in particolare? È apparso dopo aver installato un particolare software?

È il tuo wifi o ne stai usando uno pubblico? Se è pubblica, di solito le aziende inviano richieste di installazione di app e pubblicità tramite wifi relativamente spesso. Se vivi in ​​/ vicino a una zona affollata, non ti sorprenderebbe se fosse solo qualcuno a pubblicizzare il proprio prodotto. Prova a utilizzare un wifi diverso o quello di qualcun altro, verifica se il problema persiste. In caso contrario. È un problema con la rete che stai utilizzando, il che significa che molto probabilmente dovrai cambiare. Potresti provare a contattare il tuo provider per aiutarti in questo (prima avevo un problema del genere, i miei provider ISP mi hanno aiutato dopo aver contattato l'assistenza). Inoltre, controlla se la rete mobile mostra lo stesso problema. In caso contrario, l'opzione sarebbe quella di cambiare la rete attualmente in uso.