Làm thế nào để tìm ra ứng dụng nào đang cố mở các trang web spam?


11

Gần đây tôi đã mua một điện thoại thông minh Android mới. Sau khi thiết lập và tải danh bạ của tôi lên nó, tôi nghĩ đó sẽ là nó.

Bây giờ sau vài ngày, mỗi lần tôi mở khóa điện thoại, phải mất vài giây trước khi nó mở trình duyệt mặc định và mở một số trang web spam. Tôi đã cố gắng để xem những gì đã gây ra nó. Tôi đã xóa bất kỳ ứng dụng nào tôi không biết mình có thể tin tưởng, nhưng vấn đề vẫn tồn tại. Sau khi cố gắng giải quyết một thời gian, tôi đã từ bỏ và đặt lại điện thoại về mặc định của nhà sản xuất. Bây giờ sau khi thiết lập lại về mặc định, nó chạy mà không gặp sự cố trong khoảng một tuần trước khi sự cố xuất hiện trở lại.

Tôi đã cố gắng gỡ cài đặt một số ứng dụng để xem liệu chúng có phải là nguyên nhân của nó hay không, nhưng không có gì thay đổi sau khi làm như vậy. Tuy nhiên tôi đã nhận thấy rằng nếu tôi tắt wifi, nó thậm chí sẽ không thử mở trình duyệt (Tôi đã không thử dữ liệu di động vì tôi không có gói). Điều này khiến tôi cảm thấy như nó có thể liên quan đến một cái gì đó trên mạng nhưng điều đó sẽ không giải thích được tại sao chỉ có điện thoại đó mới có vấn đề khi có ít nhất 6 điện thoại Android trên cùng một mạng.

Tôi hy vọng rằng có ai đó có thể giúp tôi tìm ra nguyên nhân của vấn đề này và giúp tôi giải quyết nó.

TL; DR Khi mở khóa điện thoại của tôi, nó sẽ mở trình duyệt và cố gắng mở một trang web spam. Nhưng chỉ làm như vậy trong khi kết nối với wifi.

Những điều tôi đã thử cho đến nay:

  • Khôi phục cài đặt gốc (chỉ trợ giúp trong thời gian giới hạn)
  • Xóa bộ nhớ cache của trình duyệt và tất cả dữ liệu liên quan
  • Xóa bất kỳ ứng dụng nào tôi không biết là đáng tin cậy
  • Cố gắng tìm những gì kích hoạt nó (có vẻ như một số loại kết nối internet là bắt buộc ??)

Thiết bị này là Doogee Shoot 1. Đối với trình duyệt, mặc định được đặt là trình duyệt Android, nhưng nếu tôi thay đổi mặc định thì nó cũng sẽ sử dụng Chrome. Nó dường như thực sự chỉ sử dụng trình duyệt được đặt thành mặc định.


@beeshyams tôi đã cố gắng xóa dữ liệu trình duyệt một vài lần và nếu xóa không làm được thì thiết lập lại nhà máy sẽ giải quyết được cookie nhưng nó chỉ đơn giản là quay lại một thời gian sau.
maam27

3
@beeshyams phần mềm độc hại không nhất thiết phải biến nó thành một ứng dụng hệ thống (ví dụ: điều đó sẽ không giải thích được tại sao phải mất một tuần sau khi khôi phục cài đặt gốc cho sự cố để bật lại). Tôi sẽ kiểm tra các ứng dụng có người nghe phát sóng mở khóa màn hình để thu hẹp các ứng cử viên (xem: phát hiện sự kiện mở khóa điện thoại , ứng cử viên tốt nhất dường như Intent.ACTION_USER_PRESENT).
Izzy

@izzy: Điểm hợp lệ. Cảm ơn. Điều đó không có nghĩa là anh ta sẽ phải gỡ cài đặt tất cả các ứng dụng người dùng như một cách dễ dàng để cô lập sau khi sao lưu dữ liệu?
beeshyams

1
@beeshyams Tôi không nói "gỡ cài đặt" - Tôi đã viết kiểm tra các ứng dụng có trình nghe như vậy được thiết lập, và sau đó trước tiên xử lý chúng một cách rõ ràng. Hãy xem Thông tin ứng dụng ( Playstore / FDroid / ảnh chụp màn hình , kiểm tra "Người nhận" tại đây).
Izzy

1
@Izzy có thể đi đến một cuộc trò chuyện và xem liệu chúng ta có thể tìm ra vấn đề bằng cách làm như vậy không? vì nó cũng sẽ giữ các bình luận ngắn hơn một chút
maam27

Câu trả lời:


19

Dựa trên việc khắc phục sự cố OP đã làm theo lời khuyên của tôi, thủ phạm dường như là một ứng dụng hệ thống dưới dạng phần mềm độc hại có tên System Locker với tên gói com.tihomobi.lockframe.syslocker . Vấn đề dường như là kết quả của một bản cập nhật hệ thống, trên một số người dùng thiết bị.

Như thường lệ với ứng dụng hệ thống, nếu bạn có thể sử dụng tùy chọn Tắt trong Cài đặt → Ứng dụng → Ứng dụng hệ thống / Tất cả ứng dụng → thủ phạm, bằng mọi cách, hãy tắt ứng dụng đó, buộc dừng hoặc khởi động lại Android. Vấn đề sẽ được giải quyết cho đến khi bạn đặt lại thiết bị.


Xử lý sự cố # 1

Đây là cách tôi tìm ra thủ phạm. Công cụ Android được xây dựng dumpsys inter alia cho thấy ứng dụng nào được gọi bởi ứng dụng nào khác. Người gọi được gọi là Gói gọi.

Với điều kiện bạn đã thiết lập thành công trong thiết bị PC và Android, hãy làm như sau:

  1. giữ cho thiết bị được kết nối với PC
  2. khởi động lại thiết bị hoặc buộc dừng ứng dụng trình duyệt mặc định đó
  3. hãy để phần mềm độc hại thực hiện công việc của nó, nghĩa là, trình duyệt sẽ tự động được khởi chạy
  4. Ngay khi trình duyệt được khởi chạy, không cần làm gì với thiết bị, nhưng hãy chạy lệnh adb sau trên PC:

    adb shell dumpsys activity activities
    

Đây là đầu ra từ thiết bị của OP :

HOẠT ĐỘNG QUẢN LÝ HOẠT ĐỘNG (hoạt động của bãi rác)
Hiển thị số 0 (các hoạt động từ trên xuống dưới):
  Ngăn xếp số 1:
    Nhiệm vụ số 2
    * TaskRecord {8190ba1 # 2 A = android.task.browser U = 0 sz = 1}
      userId = 0 hiệu quảUid = u0a64 mCallingUid = u0a26 mCallingPackage = com.tihomobi.lockframe.syslocker
      ái lực = android.task.browser
      Ý định = {hành động = android.intent.action.VIEW dat = http: //im.apostback.com/click.php? c = 362 & key = 9wl83884sg67y1acw3z56z90 & s4 = 8% 2FdNwcNuQFEjjaucho5 trình duyệt cmp = com.android.browser / .BrowserActivity}
      realActivity = com.android.browser / .BrowserActivity
...
...
Biểu đồ số 0: ActivityRecord {66cd59b u0 com.android.browser / .BrowserActivity t2}
          packName = com.android.browser processName = com.android.browser
          launchedFromUid = 10026 launchedFromPackage = com.tihomobi.lockframe.syslocker userId = 0
          ứng dụng = ProcessRecord {5ad1810 4337: com.android.browser / u0a64}
          Ý định {hành động = android.intent.action.VIEW dat = http://im.apostback.com/click.php?c=362&key=9wl83884sg67y1acw3z56z90&s4=8%2FdNwcNuQFEjjaucho5IqA%3D%3D FLG = 0x10000000 pkg = com.android.browser cmp = com.android.browser / .BrowserActivity}

Trong đầu ra ::

  • com.android.browser là tên gói của trình duyệt Android gốc trong thiết bị của bạn
  • com.tihomobi.lockframe.syslocker là tên gói của ứng dụng phần mềm độc hại và được gọi là gói gọi.

Nếu bạn đã tìm thấy phần mềm độc hại, hãy tránh khắc phục sự cố tiếp theo và bỏ qua tiêu đề Nuke phần mềm độc hại .


Xử lý sự cố # 2

(Đáp lại một bản sao được đăng ở đây - ứng dụng thủ phạm là Farming Simulator 18 )

Trong một số trường hợp nhất định, xử lý sự cố nói trên có thể không giúp được, chẳng hạn như khi gọi tên gói là tên gói của chính trình duyệt được hiển thị trong đầu ra của bãi rác. Trong trường hợp đó, thích . Thiết lập logcat như thế này:

adb logcat -v dài, mô tả | grep "dat = http" # bạn cũng có thể grep bất cứ thứ gì từ URL. Nó hoàn toàn phụ thuộc vào bạn.
adb logcat -v dài, mô tả> logcat.txt # thay thế; nếu grep không được cài đặt trong hệ điều hành của bạn. Bạn cần tìm kiếm vào tập tin đó ngay bây giờ.

Bây giờ hãy mở khóa thiết bị và để trình duyệt có URL đó được tự động khởi chạy. Ngoài ra, nhấn Ctrlvới Cnếu bạn đang lưu đầu ra vào một tệp.

Đầu ra mà chúng tôi đang tìm kiếm sẽ giống như:

[11-27 16: 03: 22.592 3499: 6536 I / Trình quản lý hoạt động]
BẮT ĐẦU u0 {act = android.intent.action.VIEW dat = https: // livemilersearch.com / ... flg = 0x10000000 pkg = org.mozilla.firefox cmp = org.mozilla.firefox / .App} 

từ năm 10021
...

[11-27 16: 03: 22.647 3499: 15238 I / Trình quản lý hoạt động]
BẮT ĐẦU u0 {act = android.intent.action.VIEW dat = https: // livemilersearch.com / ... pkg = org.mozilla.firefox cmp = org.mozilla.firefox / org.mozilla.gecko.BrowserApp} 

từ 10,31

Xem hai UID được đánh dấu 10021 và 10331. Một trong số chúng (chúng sẽ khác nhau trong trường hợp của bạn) là dành cho ứng dụng trình duyệt được khởi chạy và một trong số đó là ứng dụng phần mềm độc hại yêu cầu URL đó. Vậy, làm thế nào để tìm thấy những gì là gì?

Nếu bạn đã truy cập root , chỉ cần làm:

vỏ adb su -c 'ls -l / data / data / | grep u0_a 21 '
vỏ adb su -c 'ls -l / data / data / | grep u0_a 331 '

Đầu ra sẽ như sau:

drwx ------ 5 u0_a21 u0_a21 4096 2018-01-01 10:31 com.android.chrom 
drwx ------ 5 u0_a331 u0_a331 4096 2018-01-01 10:31 com.tihomobi.lockframe.syslocker

Nếu bạn không có quyền truy cập root , hãy làm:

adb shell dumpsys package > packages_dump.txt

Bây giờ hãy tìm kiếm dòng có UID của bạn, chẳng hạn như "userId = 10021" và "userId = 10331". Dòng phía trên dòng được tìm kiếm sẽ cung cấp cho bạn tên gói và có thể trông giống như thế này:

Gói [ com.android.chrom ] (172ca1a):
    userId = 10021
...
Gói [ com.tihomobi.lockframe.syslocker ] (172ca1a):
    userId = 10331

Hai tên gói là com.android.chrom (đối với trình duyệt Chrome - chắc chắn không phải là phần mềm độc hại) và com.tihomobi.lockframe.syslocker . Để biết tên ứng dụng từ tên gói, sử dụng câu trả lời của tôi ở đây .


Nuke phần mềm độc hại

Bây giờ bạn đã biết thủ phạm, bạn có thể vô hiệu hóa nó thông qua GUI như đã nêu ở trên. Nếu điều đó là không thể, hãy làm:

adb shell pm vô hiệu hóa người dùng PKG_NAME # vô hiệu hóa ứng dụng
gỡ cài đặt adb shell pm --user 0 PKG_NAME # xóa ứng dụng cho người dùng chính
adb shell đang buộc dừng PKG_NAME # chỉ buộc dừng ứng dụng

Thay thế PKG_NAME bằng tên gói phần mềm độc hại mà bạn đã lưu ý trong phần khắc phục sự cố ở trên.

Điều đó sẽ làm các trick. Hơn nữa, bạn cũng có thể xem xét xóa ứng dụng phần mềm độc hại vĩnh viễn cho tất cả người dùng, nhưng điều đó yêu cầu quyền truy cập root.


1
Cảm ơn bạn đã tiếp tục trò chuyện nơi tôi phải rời khỏi - và phân tích tuyệt vời, +1! Đã học được một điều mới về dumpsyscách đó :)
Izzy

@Izzy Tôi rất vui vì bạn thích nó. :)
Firelord

+1 Đào sâu đẹp 👍
Irfan Latif

@IrfanLatif cảm ơn.
Firelord

0

Hơi nhiều thông tin cần thiết để giải quyết vấn đề, mặc dù tôi sẽ cố gắng tìm ra những vấn đề có thể xảy ra. Trình duyệt nào? Mẫu điện thoại nào? Được mua từ các nguồn chính thức?

Trong lý thuyết thiết lập lại nhà máy nên đã giúp bạn với vấn đề. Vì nó không có, có thêm một vài nơi mà bạn có thể nhận được một số hình thức phần mềm quảng cáo. Trước hết, bạn nói gỡ cài đặt một số ứng dụng? Những ứng dụng cụ thể? Nó có xuất hiện sau khi cài đặt một phần mềm cụ thể không?

Đây có phải là wifi của bạn hay bạn đang sử dụng mạng công cộng? Nếu công khai, thường các công ty gửi yêu cầu cài đặt ứng dụng và quảng cáo thông qua wifi tương đối thường xuyên. Nếu bạn sống ở / gần khu vực sầm uất, sẽ không ngạc nhiên nếu đó chỉ là một người nào đó sử dụng để quảng cáo sản phẩm của họ. Hãy thử sử dụng wifi khác nhau hoặc wifi của người khác, xem vấn đề còn tồn tại không. Nếu nó không. Đây là một vấn đề với mạng bạn đang sử dụng, điều đó có nghĩa là rất có thể bạn sẽ cần phải thay đổi. Bạn có thể thử liên hệ với nhà cung cấp của mình để giúp bạn điều đó (Có một vấn đề như vậy trước đây, các nhà cung cấp ISP của tôi đã giúp tôi sau khi liên hệ với bộ phận hỗ trợ). Ngoài ra, xem mạng di động cho thấy vấn đề tương tự. Nếu không, thì tùy chọn của bạn sẽ là thay đổi mạng bạn hiện đang sử dụng.


Các ứng dụng tôi muốn nói đều được cài đặt từ cửa hàng ứng dụng nhưng tôi nhận ra rằng không phải tất cả chúng đều có thể an toàn mọi lúc và đôi khi mọi thứ vượt qua sự bảo mật của nó. Vì vậy, tôi đã cố gắng loại bỏ một số mà tôi không biết liệu chúng có hoàn toàn an toàn hay không. đối với internet, đây là một mạng riêng và tôi không sống ở khu vực đông người. Nhưng vì tôi đang sử dụng thẻ Trả trước có nghĩa là việc thử dữ liệu di động trở nên đắt đỏ. Tôi có thể thử một cái gì đó bằng cách sử dụng máy tính làm điểm phát sóng xem liệu điều đó có bất kỳ sự khác biệt nào với wifi trực tiếp không.
maam27
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.