Wie finde ich heraus, welche App versucht, Spam-Websites zu öffnen?

11

Ich habe kürzlich ein neues Android-Smartphone gekauft. Nachdem ich es eingerichtet und meine Kontakte darauf geladen hatte, dachte ich, das wäre es.

Nach einigen Tagen dauert es jedes Mal, wenn ich das Telefon entsperre, einige Sekunden, bis der Standardbrowser und eine Spam-Website geöffnet werden. Ich versuchte zu sehen, was es verursachte. Ich habe alle Apps entfernt, von denen ich nicht wusste, dass ich ihnen vertrauen kann, aber das Problem blieb bestehen. Nachdem ich einige Zeit versucht hatte, das Problem zu lösen, gab ich es auf und setzte das Telefon auf die Werkseinstellungen zurück. Nachdem es auf die Standardeinstellungen zurückgesetzt wurde, lief es ungefähr eine Woche lang ohne Probleme, bevor das Problem erneut auftrat.

Ich habe versucht, einige Apps zu deinstallieren, um festzustellen, ob sie die Ursache dafür sind, aber danach hat sich nichts geändert. Ich habe jedoch festgestellt, dass beim Ausschalten des WLANs nicht einmal versucht wird, den Browser zu öffnen (ich habe keine mobilen Daten ausprobiert, da ich kein Bundle habe). Dies gibt mir das Gefühl, dass es mit etwas im Netzwerk zusammenhängt, aber das würde nicht erklären, warum nur dieses Telefon das Problem haben würde, wenn sich mindestens 6 Android-Telefone in demselben Netzwerk befinden.

Ich hoffe, dass es jemanden gibt, der mir helfen kann, die Ursache für dieses Problem zu finden und es zu lösen.

TL; DR Beim Entsperren meines Telefons wird der Browser geöffnet und versucht, eine Spam-Website zu öffnen. Dies geschieht jedoch nur, wenn eine Verbindung zum WLAN besteht.

Dinge, die ich bisher versucht habe:

  • Werksreset (nur für eine begrenzte Zeit geholfen)
  • Löschen des Browser-Cache und aller zugehörigen Daten
  • Entfernen von Apps, von denen ich nicht weiß, dass sie zuverlässig sind
  • Der Versuch zu finden, was es auslöst (scheint eine Art Internetverbindung erforderlich zu sein?)

Das Gerät ist das Doogee Shoot 1. Für den Browser ist standardmäßig der Android-Browser festgelegt. Wenn ich jedoch die Standardeinstellung ändere, wird Chrome genauso gut verwendet. Es scheint wirklich nur den Browser zu verwenden, der auf Standard eingestellt ist.

maam27
quelle
@beeshyams Ich habe ein paar Mal versucht, die Browserdaten zu löschen, und wenn das Löschen dies nicht getan hat, hätte der Werksreset die Cookies lösen sollen, aber es kam einfach einige Zeit später zurück.
maam27
3
@beeshyams Die Malware hat es nicht unbedingt in eine System-App geschafft (z. B. würde das nicht erklären, warum es eine Woche nach dem Zurücksetzen auf die Werkseinstellungen dauerte, bis das Problem erneut auftrat). Ich würde nach Apps suchen, bei denen die Hörer die Sendung zum Entsperren des Bildschirms entsperren, um die Kandidaten einzugrenzen (siehe: Ereignis zum Entsperren des Telefons erkennen , der beste Kandidat scheint zu sein Intent.ACTION_USER_PRESENT).
Izzy
@izzy: Gültiger Punkt. Vielen Dank. Bedeutet das nicht, dass er alle Benutzer-Apps deinstallieren muss , um sie nach dem Sichern von Daten auf einfache Weise zu isolieren?
Beeshyams
1
@beeshyams Ich habe nicht "deinstallieren" gesagt - ich habe einen Check für Apps geschrieben, bei denen ein solcher Listener eingerichtet ist, und mich dann zuerst explizit mit diesen befasst. Schauen Sie sich die Anwendungsinformationen an ( Playstore / FDroid / Screenshot , überprüfen Sie hier "Empfänger").
Izzy
1
@Izzy Wäre es möglich, in einen Chat zu gehen und zu sehen, ob wir das Problem auf diese Weise finden können? da es auch die Kommentare etwas kürzer halten würde
maam27

Antworten:

19

Basierend auf der Fehlerbehebung, die OP gemäß meinen Ratschlägen durchgeführt hat, schien der Schuldige eine System-App als Malware namens System Locker mit dem Paketnamen com.tihomobi.lockframe.syslocker zu sein . Das Problem scheint auf ein Systemupdate für einige Benutzer des Geräts zurückzuführen zu sein.

Wie üblich bei einer System - Anwendung, wenn Sie die Verwendung erhalten zu deaktivieren Option unter Einstellungen → Apps → System apps / Alle Apps → die Täter, als mit allen Mitteln, deaktiviere die App, Kraft-stop es oder die Android neu starten. Das Problem sollte behoben bleiben, bis Sie das Gerät auf die Werkseinstellungen zurücksetzen.


Fehlerbehebung # 1

So habe ich den Täter herausgefunden. Das eingebaute Android-Tool dumpsys zeigt unter anderem, welche App von welcher anderen App aufgerufen wurde. Der Anrufer wird als Anrufpaket bezeichnet.

Gehen Sie wie folgt vor, vorausgesetzt, Sie haben und erfolgreich auf dem PC und dem Android-Gerät eingerichtet:

  1. Lassen Sie das Gerät an den PC angeschlossen
  2. Starten Sie das Gerät neu oder stoppen Sie die Standard-Browser-App
  3. Lassen Sie die Malware ihren Job machen, dh lassen Sie den Browser automatisch starten
  4. Sobald der Browser gestartet ist, tun Sie nichts physisch mit dem Gerät, sondern führen Sie den folgenden Befehl adb auf dem PC aus:

    adb shell dumpsys activity activities
    

Hier ist die Ausgabe vom OP-Gerät :

AKTIVITÄTSMANAGER-AKTIVITÄTEN (Dumpsys-Aktivitätsaktivitäten)
Anzeige # 0 (Aktivitäten von oben nach unten):
  Stapel Nr. 1:
    Aufgaben-ID Nr. 2
    * TaskRecord {8190ba1 # 2 A = android.task.browser U = 0 sz = 1}
      userId = 0 effektivUid = u0a64 mCallingUid = u0a26 mCallingPackage = com.tihomobi.lockframe.syslocker
      Affinität = android.task.browser
      intent = {act = android.intent.action.VIEW dat = http: //im.apostback.com/click.php? c = 362 & key = 9wl83884sg67y1acw3z56z90 & s4 = 8% 2FdNwcNuQFEjjaucho5IqA% 3D% 3D flg = 0x10000000 pg = 0x10000000 pg. Browser cmp = com.android.browser / .BrowserActivity}
      realActivity = com.android.browser / .BrowserActivity
...
...
Hist # 0: ActivityRecord {66cd59b u0 com.android.browser / .BrowserActivity t2}
          packageName = com.android.browser processName = com.android.browser
          launchedFromUid = 10026 launchedFromPackage = com.tihomobi.lockframe.syslocker userId = 0
          app = ProcessRecord {5ad1810 4337: com.android.browser / u0a64}
          Absicht {act = android.intent.action.VIEW dat = http://im.apostback.com/click.php?c=362&key=9wl83884sg67y1acw3z56z90&s4=8%2FdNwcNuQFEjjaucho5IqA%3D%3D flg = 0x100 cmp = com.android.browser / .BrowserActivity}

In der Ausgabe ::

  • com.android.browser ist der Paketname des Standard- Android-Browsers auf Ihrem Gerät
  • com.tihomobi.lockframe.syslocker ist der Paketname der Malware-App und wird als aufrufendes Paket bezeichnet.

Wenn Sie die Malware gefunden haben, vermeiden Sie die nächste Fehlerbehebung und fahren Sie mit der Überschrift Nuke the Malware fort .


Fehlerbehebung # 2

(Als Reaktion auf ein Duplikat gepostet hier - der Täter App war Farming Simulator 18 )

Unter bestimmten Umständen kann die oben genannte Fehlerbehebung möglicherweise nicht helfen, z. B. wenn beim Aufrufen des Paketnamens der Paketname des Browsers selbst in der Ausgabe von dumpsys angezeigt wird. In diesem Fall bevorzugen Sie . Richten Sie logcat wie folgt ein:

adb logcat -v lang, beschreibend | grep "dat = http" # Sie können auch alles von der URL abrufen. Es liegt ganz bei Ihnen.
adb logcat -v long, beschreibend> logcat.txt # alternative; wenn grep nicht in Ihrem Betriebssystem installiert ist. Sie müssen jetzt in dieser Datei suchen.

Entsperren Sie nun das Gerät und lassen Sie den Browser mit dieser URL automatisch starten. Drücken Sie außerdem Ctrlmit, Cwenn Sie die Ausgabe in einer Datei speichern.

Die Ausgabe, die wir suchen, würde ungefähr so ​​aussehen:

[11-27 16: 03: 22.592 3499: 6536 I / ActivityManager]
START u0 {act = android.intent.action.VIEW dat = https: //livemobilesearch.com / ... flg = 0x10000000 pkg = org.mozilla.firefox cmp = org.mozilla.firefox / .App} 

von uid 10021
...

[11-27 16: 03: 22.647 3499: 15238 I / ActivityManager]
START u0 {act = android.intent.action.VIEW dat = https: //livemobilesearch.com / ... pkg = org.mozilla.firefox cmp = org.mozilla.firefox / org.mozilla.gecko.BrowserApp} 

von uid 10331

Siehe die beiden hervorgehobenen UIDs 10021 und 10331. Eine davon (in Ihrem Fall anders) ist für die gestartete Browser-App vorgesehen, und eine davon ist die Malware-App, die diese URL anfordert. Also, wie findet man was ist was?

Wenn Sie Root-Zugriff haben , gehen Sie einfach wie folgt vor:

adb shell su -c 'ls -l / data / data / | grep u0_a 21 '
adb shell su -c 'ls -l / data / data / | grep u0_a 331 '

Die Ausgabe wäre wie folgt:

drwx ------ 5 u0_a21 u0_a21 4096 2018-01-01 10:31 com.android.chrome 
drwx ------ 5 u0_a331 u0_a331 4096 2018-01-01 10:31 com.tihomobi.lockframe.syslocker

Wenn Sie keinen Root-Zugriff haben , gehen Sie wie folgt vor:

adb shell dumpsys package > packages_dump.txt

Suchen Sie nun nach der Zeile mit Ihren UIDs wie "userId = 10021" und "userId = 10331". Die Zeile über der gesuchten Zeile gibt Ihnen den Paketnamen und sieht möglicherweise folgendermaßen aus:

Paket [ com.android.chrome ] (172ca1a):
    userId = 10021
...
Paket [ com.tihomobi.lockframe.syslocker ] (172ca1a):
    userId = 10331

Die beiden Paketnamen sind com.android.chrome (für Chrome-Browser - sicherlich keine Malware) und com.tihomobi.lockframe.syslocker . Verwenden Sie meine Antwort hier , um den Namen der App anhand des Paketnamens zu ermitteln .


Nuke die Malware

Nachdem Sie den Täter kennen, können Sie ihn wie oben angegeben über die GUI deaktivieren. Wenn dies nicht möglich ist, gehen Sie wie folgt vor:

adb shell pm disable-user PKG_NAME # deaktiviert die App
adb shell pm uninstall --user 0 PKG_NAME # entfernt die App für den primären Benutzer
adb shell bin Force-Stop PKG_NAME # stoppt nur die App

Ersetzen Sie PKG_NAME durch den Paketnamen der Malware, die Sie in der obigen Fehlerbehebung angegeben haben.

Das sollte den Trick machen. Darüber hinaus können Sie in Betracht ziehen, die Malware-App für alle Benutzer dauerhaft zu entfernen. Dies erfordert jedoch Root-Zugriff.

Feuerlord
quelle
1
Danke, dass du den Chat übernommen hast, in dem ich gehen musste - und tolle Analyse, +1! Auf dumpsysdiese Weise etwas Neues gelernt :)
Izzy
@Izzy Ich bin froh, dass es dir gefällt. :)
Feuerlord
+1 Nizza tiefes Graben 👍
Irfan Latif
@ IrfanLatif danke.
Feuerlord
0

Etwas mehr Informationen werden benötigt, um das Problem zu lösen, obwohl ich versuchen werde, die möglichen Probleme zu finden. Welcher Browser? Welches Telefonmodell? Wurde es aus offiziellen Quellen gekauft?

Theoretisch hätte Ihnen das Zurücksetzen auf die Werkseinstellungen bei dem Problem helfen sollen. Da dies nicht der Fall war, gibt es noch einige weitere Stellen, an denen Sie Adware erhalten können. Zunächst sagten Sie, einige Apps deinstallieren? Welche Apps besonders? Ist es nach der Installation einer bestimmten Software aufgetreten?

Ist es Ihr WLAN oder verwenden Sie ein öffentliches? Wenn es öffentlich ist, senden Unternehmen normalerweise relativ oft App-Installations- und Werbeanfragen über WLAN. Wenn Sie in / in der Nähe eines belebten Gebiets wohnen, wäre es nicht verwunderlich, wenn dies nur jemand wäre, der für sein Produkt wirbt. Versuchen Sie, ein anderes WLAN oder das WLAN eines anderen Benutzers zu verwenden, um festzustellen, ob das Problem weiterhin besteht. Wenn nicht. Es handelt sich um ein Problem mit dem von Ihnen verwendeten Netzwerk, was bedeutet, dass Sie höchstwahrscheinlich Änderungen vornehmen müssen. Sie können versuchen, Ihren Provider zu kontaktieren, um Ihnen dabei zu helfen (Hatte zuvor ein solches Problem, meine ISP-Provider haben mir nach Kontaktaufnahme mit dem Support geholfen). Überprüfen Sie auch, ob das Mobilfunknetz das gleiche Problem aufweist. Wenn dies nicht der Fall ist, können Sie das aktuell verwendete Netzwerk ändern.

Josh Ross
quelle
Die Apps, die ich meinte, wurden alle aus dem Appstore installiert, aber mir ist klar, dass nicht alle jederzeit sicher sein können und manchmal die Sicherheit überschritten wird. Also habe ich versucht, einige zu entfernen, von denen ich nicht wusste, ob sie absolut sicher sind oder nicht. Das Internet ist ein privates Netzwerk und ich lebe nicht in einer überfüllten Gegend. Aber da ich eine Pre-Paid-Karte benutze, würde das Ausprobieren der mobilen Daten teuer werden. Ich könnte etwas versuchen, indem ich den PC als Hotspot benutze, um zu sehen, ob sich das direkt vom WLAN unterscheidet.
Maam27