스팸 웹 사이트를 열려고하는 앱을 찾는 방법은 무엇입니까?


11

최근에 새로운 Android 스마트 폰을 구입했습니다. 그것을 설정하고 연락처를로드 한 후에는 그럴 것이라고 생각했습니다.

며칠이 지난 후 전화를 잠금 해제 할 때마다 기본 브라우저가 열리고 스팸 웹 사이트가 열리려면 몇 초가 걸립니다. 그 원인을 확인하려고했습니다. 믿을 수없는 앱을 제거했지만 문제가 지속되었습니다. 얼마 동안 그것을 해결하려고 노력한 후에 나는 포기하고 전화를 공장 기본값으로 재설정했습니다. 이제 기본값으로 재설정 한 후 대략 1 주일 동안 문제없이 다시 실행되었습니다.

앱이 원인인지 확인하기 위해 일부 앱을 제거하려고했지만 그렇게 한 후에도 아무것도 변경되지 않았습니다. 그러나 Wi-Fi를 끄면 브라우저를 열려고 시도하지도 않습니다 (번들이 없기 때문에 모바일 데이터를 시도하지 않았습니다). 이것은 네트워크상의 무언가와 관련이 있다고 생각하지만 동일한 네트워크에 6 개 이상의 안드로이드 폰이있을 때 그 전화 만 문제가되는 이유는 설명하지 않습니다.

이 문제의 원인을 찾아서 해결하도록 도와 줄 수있는 사람이 있기를 바랍니다.

TL; DR 휴대폰 잠금을 해제하면 브라우저가 열리고 스팸 웹 사이트가 열려고합니다. 그러나 Wi-Fi에 연결된 동안에 만 가능합니다.

내가 지금까지 시도한 것 :

  • 공장 초기화 (한정 기간 동안 만 도움이 됨)
  • 브라우저 캐시 및 모든 관련 데이터 지우기
  • 신뢰할 수없는 앱 제거
  • 무엇이 트리거되는지 찾으려고 시도 중입니다 (인터넷 연결의 일부 유형이 필요한 것 같습니다).

장치는 Doogee Shoot 1입니다. 브라우저의 경우 기본값은 Android 브라우저로 설정되어 있지만 기본값을 변경하면 Chrome도 사용됩니다. 실제로 기본값으로 설정된 브라우저를 사용하는 것 같습니다.


@beeshyams 나는 브라우저 데이터를 몇 번 지우려고 시도했지만 그것을 지우지 않으면 공장 재설정으로 쿠키를 해결해야했지만 얼마 후 다시 돌아 왔습니다.
maam27

3
@beeshyams는 맬웨어를 반드시 시스템 앱으로 만들 필요는 없습니다 (예 : 공장 초기화 후 문제가 다시 발생하기 위해 1 주일이 걸린 이유를 설명하지 않습니다). 후보자를 좁히기 위해 화면 잠금 해제 브로드 캐스트에 대한 청취자가있는 앱을 확인하려고합니다 ( 전화 잠금 해제 이벤트 감지 , 가장 좋은 후보는 Intent.ACTION_USER_PRESENT).
Izzy

@izzy : 유효한 포인트입니다. 감사. 데이터를 백업 한 후 쉽게 분리 할 수있는 방법으로 모든 사용자 앱 을 제거해야한다는 의미는 아닙니까?
beeshyams

1
@beeshyams "언인스톨"이라고 말하지 않았습니다. 그런 리스너가 설정되어있는 앱을 확인한 다음, 우선 명시 적으로 처리합니다. 응용 프로그램 정보 ( Playstore / FDroid / 스크린 샷 , "수신자"확인)를 살펴보십시오 .
Izzy

1
@Izzy 채팅에 가서 문제를 찾을 수 있는지 알아볼 수 있을까요? 댓글도 약간 짧게
만들었 기

답변:


19

OP가 내 조언에 따라 수행 한 문제 해결에 따라 범인은 패키지 이름이 com.tihomobi.lockframe.syslockerSystem Locker 라는 맬웨어로 시스템 앱인 것으로 보입니다 . 이 문제 는 장치의 일부 사용자 에 따라 시스템 업데이트로 인한 것으로 보입니다 .

일반적으로 시스템 앱에서와 같이 설정 → 앱 → 시스템 앱 / 모든 앱 → 범인 에서 사용 안함 옵션 을 사용하는 경우 해당 앱을 사용 중지하거나 강제 종료하거나 Android를 재부팅하십시오. 기기를 초기화 할 때까지 문제가 해결되었습니다.


문제 해결 # 1

내가 범인을 알아 낸 방법은 다음과 같습니다. 내장 된 Android 도구 dumpsys 는 특히 어떤 앱이 어떤 다른 앱에 의해 호출되었는지를 보여줍니다. 호출자를 호출 패키지라고합니다.

PC 및 Android 장치에서 성공적으로 설정했으면 다음을 수행하십시오.

  1. 장치를 PC에 연결 한 상태로 유지
  2. 기기를 재부팅하거나 기본 브라우저 앱 강제 종료
  3. 맬웨어가 작업을 수행하도록합니다. 즉, 브라우저가 자동으로 시작되도록합니다
  4. 브라우저가 시작 되 자마자 물리적으로 장치를 사용하지 말고 PC에서 다음 adb 명령을 실행하십시오.

    adb shell dumpsys activity activities
    

다음 은 OP 장치출력입니다 .

활동 관리자 활동 (dumpsys 활동 활동)
디스플레이 # 0 (위에서 아래로 활동) :
  스택 # 1 :
    작업 ID # 2
    * TaskRecord {8190ba1 # 2 A = android.task.browser U = 0 sz = 1}
      userId = 0 effectiveUid = u0a64 mCallingUid = u0a26 mCallingPackage = com.tihomobi.lockframe.syslocker
      affinity = android.task.browser
      intent = {act = android.intent.action.VIEW dat = http : //im.apostback.com/click.php? c = 362 & key = 9wl83884sg67y1acw3z56z90 & s4 = 8 % 2FdNwcNuQFEjjaucho5IqA % 3D % 3D flg = 0x10000000 pkg = com.android. 브라우저 cmp = com.android.browser / .BrowserActivity}
      realActivity = com.android.browser / .BrowserActivity
...
...
Hist # 0 : ActivityRecord {66cd59b u0 com.android.browser / .BrowserActivity t2}
          packageName = com.android.browser processName = com.android.browser
          launchedFromUid = 10026 launchedFromPackage = com.tihomobi.lockframe.syslocker userId를 = 0
          app = ProcessRecord {5ad1810 4337 : com.android.browser / u0a64}
          의도 {act = android.intent.action.VIEW dat = http://im.apostback.com/click.php?c=362&key=9wl83884sg67y1acw3z56z90&s4=8%2FdNwcNuQFEjjaucho5IqA%3D%3D flg = 0x10000000 pkg = com.android. cmp = com.android.browser / .BrowserActivity}

출력에서 : :

  • com.android.browser 는 기기의 기본 Android 브라우저 패키지 이름입니다.
  • com.tihomobi.lockframe.syslocker 는 맬웨어 앱의 패키지 이름이며 호출 패키지라고합니다.

멀웨어를 찾은 경우 다음 문제 해결을 피하고 Nuke the 멀웨어로 이동하십시오 .


문제 해결 # 2

( 여기에 게시 된 사본에 대한 응답으로 범인 앱은 Farming Simulator 18 이었습니다 )

경우에 따라 package name 호출시 dumpsys 출력에 표시된 브라우저 자체의 패키지 이름과 같은 특정 문제 해결이 도움이되지 않을 수 있습니다. 이 경우 선호하십시오 . 다음과 같이 설정 logcat :

adb logcat -v 상세 설명 | grep "dat = http"# URL에서 무엇이든 grep 할 수 있습니다. 순전히 당신에게 달려 있습니다.
adb logcat -v long, 설명> logcat.txt # 대안; grep이 OS에 설치되어 있지 않은 경우 이제 해당 파일을 검색해야합니다.

이제 장치를 잠금 해제하고 해당 URL을 가진 브라우저를 자동으로 시작하십시오. 또한 출력을 파일로 저장하는 경우 Ctrlwith를 누르십시오 C.

우리가 찾고있는 결과는 다음과 비슷합니다.

[11-27 16 : 03 : 22.592 3499 : 6536 I / ActivityManager]
START u0 {act = android.intent.action.VIEW dat = https : //livemobilesearch.com / ... flg = 0x10000000 pkg = org.mozilla.firefox cmp = org.mozilla.firefox / .App} 

에서 UID 10021
...

[11-27 16 : 03 : 22.647 3499 : 15238 I / ActivityManager]
START u0 {act = android.intent.action.VIEW dat = https : //livemobilesearch.com / ... pkg = org.mozilla.firefox cmp = org.mozilla.firefox / org.mozilla.gecko.BrowserApp} 

에서 UID 10331

강조 표시된 두 UID 10021 및 10331을 참조하십시오. 그 중 하나 (사용하는 경우 다를 수 있음)는 시작된 브라우저 앱용이고 그 중 하나는 해당 URL을 요청하는 맬웨어 앱입니다. 그래서 무엇을 찾는 방법?

루트 액세스 권한이 있다면 간단히 다음을 수행하십시오.

adb 쉘 su -c 'ls -l / data / data / | grep u0_a 21 '
adb 쉘 su -c 'ls -l / data / data / | grep u0_a 331 '

출력은 다음과 같습니다.

drwx ------ 5 u0_a21 u0_a21 4096 2018-01-01 10:31 com.android.chrome 
drwx ------ 5 u0_a331 u0_a331 4096 2018-01-01 10:31 com.tihomobi.lockframe.syslocker

루트 액세스 권한이 없으면 다음을 수행하십시오.

adb shell dumpsys package > packages_dump.txt

이제 "userId = 10021"및 "userId = 10331"과 같은 UID가있는 줄을 검색하십시오. 검색된 행 위의 행은 패키지 이름을 제공하며 다음과 같이 보일 수 있습니다.

패키지 [ com.android.chrome ] (172ca1a) :
    userId = 10021
...
패키지 [ com.tihomobi.lockframe.syslocker ] (172ca1a) :
    userId = 10331

두 가지 패키지 이름은 com.android.chrome (크롬 브라우저의 경우 맬웨어가 아님) 및 com.tihomobi.lockframe.syslocker 입니다. 패키지 이름에서 앱 이름을 알려면 여기에 내 대답을 사용 하십시오 .


악성 코드 핵무기

이제 범인을 알았으므로 위에서 설명한대로 GUI를 통해 사용하지 않도록 설정할 수 있습니다. 이것이 가능하지 않은 경우 다음을 수행하십시오.

adb shell pm disable-user PKG_NAME # 앱을 비활성화합니다
adb shell pm uninstall --user 0 PKG_NAME #은 기본 사용자를위한 앱을 제거합니다
adb shell am force-stop PKG_NAME # 앱을 강제로 중지합니다

교체 PKG_NAME를 위의 문제 해결에 언급 된 악성 코드의 패키지 이름.

그 트릭을해야합니다. 또한 모든 사용자에 대해 맬웨어 앱을 영구적으로 제거하는 것을 고려할 수도 있지만 루트 액세스가 필요합니다.


1
내가 떠나야했던 대화를 이어 주셔서 감사합니다 – 훌륭한 분석, +1! dumpsys그런 식으로 새로운 것을 배웠습니다 :)
Izzy

@Izzy 나는 당신이 그것을 좋아해서 기쁘다. :)
Firelord

+1 Nice deep digging 👍
Irfan Latif

@IrfanLatif 감사합니다.
Firelord

0

가능한 문제를 찾으려고하더라도이 문제를 해결하는 데 약간 더 많은 정보가 필요합니다. 어떤 브라우저? 어떤 전화 모델? 공식 소스에서 구입 했습니까?

이론적으로 공장 재설정은 문제를 해결하는 데 도움이되었을 것입니다. 그렇지 않았으므로 몇 가지 형태의 애드웨어를 얻을 수있는 곳이 더 있습니다. 우선, 일부 앱을 제거했다고 했습니까? 특히 어떤 앱입니까? 특정 소프트웨어를 설치 한 후 나타 납니까?

Wi-Fi입니까, 아니면 공용 Wi-Fi를 사용하고 있습니까? 공개 된 경우 일반적으로 회사는 비교적 자주 WiFi를 통해 앱 설치 및 광고 요청을 보냅니다. 바쁜 지역에 거주하는 경우 제품을 광고하는 데 사용하는 사람 만 있으면 놀라지 않을 것입니다. 다른 Wi-Fi 또는 다른 사람의 Wi-Fi를 사용하여 문제가 지속되는지 확인하십시오. 그렇지 않다면. 사용중인 네트워크에 문제가 있으므로 변경해야 할 가능성이 높습니다. 서비스 제공 업체에 연락하여 도움을받을 수 있습니다 (이전과 같은 문제가 발생한 경우 ISP 제공 업체에 문의 한 후 도움을 요청했습니다). 또한 모바일 네트워크에 동일한 문제가 있는지 확인하십시오. 그렇지 않은 경우 현재 사용중인 네트워크를 변경하는 옵션이 있습니다.


내가 의미하는 앱은 모두 앱 스토어에서 설치되었지만 모든 앱이 항상 안전하지는 않으며 때로는 보안을 뛰어 넘을 수 없다는 것을 알고 있습니다. 그래서 나는 그들이 완전히 안전했는지 아닌지 알지 못하는 것을 제거하려고했습니다. 인터넷은 개인 네트워크이며 혼잡 한 지역에는 살지 않습니다. 하지만 선불 카드를 사용하면 모바일 데이터를 사용하는 데 많은 비용이 소요됩니다. PC를 핫스팟으로 사용하여 무언가를 시도해 볼 수 있습니다 .Wi-Fi와 직접적으로 다른지 확인하십시오.
maam27
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.