スパムWebサイトを開こうとしているアプリを見つける方法は?


11

最近、新しいAndroidスマートフォンを購入しました。それをセットアップし、それに私の連絡先をロードした後、私はそれがそれだと思った。

数日後、電話のロックを解除するたびに、デフォルトのブラウザが開き、スパムWebサイトが開くまでに数秒かかります。何が原因なのか見てみました。信頼できると思わないアプリを削除しましたが、問題は解決しませんでした。しばらくそれを解決しようとした後、私はあきらめて、電話を工場出荷時のデフォルトにリセットしました。デフォルトにリセットした後、問題が再発するまで約1週間問題なく実行されました。

一部のアプリをアンインストールして原因を特定しようとしましたが、変更しても何も変わりませんでした。ただし、WiFiをオフにすると、ブラウザーを開こうとさえしないことに気付きました(バンドルがないため、モバイルデータを試していません)。これは、ネットワーク上の何かに関連している可能性があるように感じますが、その同じネットワーク上に少なくとも6台のAndroidフォンがある場合に、その電話機だけに問題がある理由は説明できません。

この問題の原因を特定して解決するのを手伝ってくれる人がいることを願っています。

TL; DR電話のロックを解除すると、ブラウザが開き、スパムWebサイトを開こうとします。ただし、Wi-Fiに接続している間のみそうなります。

これまでに試したこと:

  • 出荷時設定へのリセット(限られた時間のみ有効)
  • ブラウザのキャッシュとすべての関連データをクリアする
  • 信頼できると思わないアプリを削除する
  • それをトリガーするものを見つけようとしています(ある種のインターネット接続が必要なようです??)

デバイスはDoogee Shoot 1です。ブラウザーはデフォルトでAndroidブラウザーに設定されていますが、デフォルトを変更するとChromeも使用されます。デフォルトに設定されているブラウザを使用しているようです。


@beeshyams私は数回ブラウザデータをクリアしようとしました、そしてそれをクリアしてもそれがそれをしなかったなら、ファクトリーリセットはクッキーを解決したはずですが、それは単にしばらくして戻ってきました。
maam27 2017

3
@beeshyamsマルウェアは必ずしもシステムアプリに侵入したわけではありません(たとえば、工場出荷時のリセットから問題が再び発生するまでに1週間かかった理由を説明していません)。画面のロック解除ブロードキャストのリスナーを持つアプリをチェックして、候補を絞り込みます(参照:電話のロック解除イベントを検出しますIntent.ACTION_USER_PRESENT。最適な候補はと思われます)。
イジー

@izzy:有効なポイント。ありがとう。データをバックアップした後で簡単に分離する方法として、すべてのユーザーアプリをアンインストールする必要があるという意味ではありませんか?
beeshyams 2017

1
@beeshyams「アンインストール」とは言いませんでした。このようなリスナーが確立されているアプリのチェックを作成し、最初に明示的に対処しました。アプリケーション情報を見てください(Playstore / FDroid / スクリーンショット、ここの「Receivers」をチェックしてください)。
イジー

1
@Izzyチャットに行って、問題を見つけることができるかどうかを確認することは可能でしょうか?コメントも少し短くなる
ので

回答:


19

トラブルシューティングのOPに基づいて私のアドバイス以下、犯人は、システムアプリであるように思われなかったマルウェアなどという名前のシステムロッカー 、パッケージ名を持つcom.tihomobi.lockframe.syslocker。この問題は、デバイスの一部のユーザーによるシステムアップデートの結果であると思われます。

システムアプリの場合と同様に、[設定]→[アプリ]→[システムアプリ/すべてのアプリ] →原因の[ 無効化 ]オプションを使用する場合は、必ずそのアプリを無効にして強制停止するか、Androidを再起動してください。この問題は、デバイスを出荷時設定にリセットするまで解決されます。


トラブルシューティング#1

ここに私が犯人を見つけた方法があります。組み込みのAndroidツールであるdumpsysは、他のどのアプリがどのアプリを呼び出したかを表示します。呼び出し元は、呼び出し元パッケージと呼ばれます。

PCおよびAndroidデバイスで正常にセットアップした場合は、以下を実行します。

  1. デバイスをPCに接続したままにします
  2. デバイスを再起動するか、そのデフォルトのブラウザーアプリを強制停止します
  3. マルウェアが機能するようにします。つまり、ブラウザを自動的に起動します
  4. ブラウザが起動したらすぐに、物理的にデバイスを操作せずに、PCで次のadbコマンドを実行します。

    adb shell dumpsys activity activities
    

OPのデバイスから出力は次のとおりです。

ACTIVITY MANAGER ACTIVITIES(dumpsysアクティビティアクティビティ)
ディスプレイ#0(上から下へのアクティビティ):
  スタック#1:
    タスクID#2
    * TaskRecord {8190ba1#2 A = android.task.browser U = 0 sz = 1}
      userId = 0 effectiveUid = u0a64 mCallingUid = u0a26 mCallingPackage = com.tihomobi.lockframe.syslocker
      affinity = android.task.browser
      intent = {act = android.intent.action.VIEW dat = http://im.apostback.com/click.php?c = 362&key = 9wl83884sg67y1acw3z56z90&s4 = 8%2FdNwcNuQFEjjaucho5IqA%3D%3D flg = 0x10000000 pkg = com.android.android。ブラウザcmp = com.android.browser / .BrowserActivity}
      realActivity = com.android.browser / .BrowserActivity
...
...
履歴#0:ActivityRecord {66cd59b u0 com.android.browser / .BrowserActivity t2}
          packageName = com.android.browser processName = com.android.browser
          launchedFromUid = 10026 launchedFromPackage = com.tihomobi.lockframe.syslockerのuserId = 0
          app = ProcessRecord {5ad1810 4337:com.android.browser / u0a64}
          インテント{act = android.intent.action.VIEW dat = http://im.apostback.com/click.php?c=362&key=9wl83884sg67y1acw3z56z90&s4=8%2FdNwcNuQFEjjaucho5IqA%3D%3D flg = 0x10000000 pkg = com.android.browser cmp = com.android.browser / .BrowserActivity}

出力では::

  • com.android.browserは、デバイスの標準の Androidブラウザーのパッケージ名です。
  • com.tihomobi.lockframe.syslockerはマルウェアアプリのパッケージ名であり、呼び出しパッケージと呼ばれます。

マルウェアが見つかった場合は、次のトラブルシューティングを避け、見出し「Nuke theマルウェア」に進んでください。


トラブルシューティング#2

ここに掲載された重複に対応して-犯人のアプリはFarming Simulator 18でした)

特定の状況では、前述のトラブルシューティングが役に立たない場合があります。たとえば、パッケージ名を呼び出すと、dumpsysの出力に表示されるブラウザ自体のパッケージ名になります。その場合は、。次のようにlogcatをセットアップします。

adb logcat -v long、descriptive | grep "dat = http"#URLから何でもgrepできます。それは完全にあなた次第です。
adb logcat -v long、descriptive> logcat.txt#代替; grepがOSにインストールされていない場合。ここでそのファイルを検索する必要があります。

次に、デバイスのロックを解除し、そのURLのブラウザを自動的に起動します。また、出力をファイルに保存する場合は、Ctrlwithを押しCます。

私たちが求めている出力は、次のようになります。

[11-27 16:03:22.592 3499:6536 I / ActivityManager]
START u0 {act = android.intent.action.VIEW dat = https://livemobilesearch.com / ... flg = 0x10000000 pkg = org.mozilla.firefox cmp = org.mozilla.firefox / .App} 
uid 10021 
から
...

[11-27 16:03:22.647 3499:15238 I / ActivityManager]
開始u0 {act = android.intent.action.VIEW dat = https://livemobilesearch.com / ... pkg = org.mozilla.firefox cmp = org.mozilla.firefox / org.mozilla.gecko.BrowserApp} 
uid 10331 
から

強調表示されている2つのUID 10021と10331を参照してください。そのうちの1つ(場合によっては異なります)は、起動されたブラウザーアプリ用で、1つはそのURLを要求するマルウェアアプリです。それで、何が何であるかを見つける方法は?

rootアクセス権がある場合は、次のようにします。

adb shell su -c 'ls -l / data / data / | grep u0_a 21 '
adb shell su -c 'ls -l / data / data / | grep u0_a 331 '

出力は次のようになります:

drwx ------ 5 u0_a21 u0_a21 4096 2018-01-01 10:31 com.android.chrome 
drwx ------ 5 u0_a331 u0_a331 4096 2018-01-01 10:31 com.tihomobi.lockframe.syslocker

rootアクセス権がない場合は、次のようにします。

adb shell dumpsys package > packages_dump.txt

次に、「userId = 10021」や「userId = 10331」などのUIDを含む行を検索します。検索された行の上の行はパッケージ名を示し、次のようになります。

パッケージ[ com.android.chrome ](172ca1a):
    userId = 10021
...
パッケージ[ com.tihomobi.lockframe.syslocker ](172ca1a):
    userId = 10331

2つのパッケージ名は、com.android.chrome(Chromeブラウザーの場合-マルウェアではない)とcom.tihomobi.lockframe.syslockerです。パッケージ名からアプリの名前を知るには、ここで私の答えを使用してください


核兵器

犯人がわかったので、上記のようにGUIを使用して無効にすることができます。それが不可能な場合は、次のようにします。

adb shell pm disable-user PKG_NAME#アプリを無効にします
adb shell pm uninstall --user 0 PKG_NAME#プライマリユーザーのアプリを削除します
adb shell am force-stop PKG_NAME#アプリの強制停止のみ

PKG_NAMEを、上記のトラブルシューティングでメモしたマルウェアのパッケージ名に置き換えます。

これでうまくいくはずです。さらに、すべてのユーザーに対してマルウェアアプリを完全に削除することも検討できますが、これにはルートアクセスが必要です。


1
私が去らなければならなかったチャットを引き継いでくれてありがとう–そして素晴らしい分析、+ 1!dumpsysその方法について新しいことを学びました:)
Izzy

@イジー私はあなたがそれを気に入ってうれしいです。:)
ファイアロード

+1深掘りNice
Irfan Latif

@IrfanLatifありがとう。
ファイアロード

0

問題の解決に必要な情報が少し増えましたが、考えられる問題を見つけようとします。どのブラウザ?どの電話モデル?公式ソースから購入したものですか?

理論的には、工場出荷時の状態にリセットすると問題が解決するはずです。できなかったため、アドウェアを入手できる場所がさらにいくつかあります。まず第一に、あなたはいくつかのアプリをアンインストールすると言いましたか?特にどのアプリですか?特定のソフトウェアをインストールした後に表示されましたか?

それはあなたのwifiですか、それとも公共のものを使用していますか?公開されている場合、通常、企業は比較的頻繁にwifiを介してアプリのインストールと広告リクエストを送信します。あなたが忙しいエリアに住んでいる/近くに住んでいる場合、それが彼らの製品を宣伝するために使用している誰かであるとしても、驚かないでしょう。別のwifiまたは他の誰かのwifiを使用してみてください。問題が解決しないかどうかを確認します。そうでない場合。これは、使用しているネットワークの問題です。つまり、変更が必要になる可能性が高いということです。あなたはあなたのプロバイダーに連絡してそれを手伝うことを試みることができます(以前にそのような問題があったなら、私のISPプロバイダーはサポートに連絡した後に私を助けました)。また、モバイルネットワークでも同じ問題が発生するかどうかを確認します。そうでない場合は、現在使用しているネットワークを変更することを選択できます。


私が意味するアプリはすべてアプリストアからインストールされましたが、それらのすべてが常に安全であるとは限らず、場合によってはそのセキュリティを超えてしまうこともあります。それで、完全に安全かどうかわからないものを削除しようとしました。インターネットはプライベートなネットワークで混雑した地域には住んでいません。ただし、プリペイドカードを使用すると、モバイルデータを試すのに費用がかかることになります。PCをホットスポットとして使用して何かを試してみると、それがwifiと直接異なるかどうかを確認できます。
maam27 2017
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.