Recientemente compré un nuevo teléfono inteligente Android. Después de configurarlo y cargar mis contactos en él, pensé que sería todo.

Ahora, después de algunos días, cada vez que desbloqueo el teléfono, tarda unos segundos antes de que abra el navegador predeterminado y abra algún sitio web de spam. Traté de ver qué lo estaba causando. Eliminé cualquier aplicación en la que no sabía que podía confiar, pero el problema persistió. Después de intentar resolverlo por un tiempo, me di por vencido y restablecí el teléfono a los valores predeterminados de fábrica. Ahora, después de restablecer el valor predeterminado, se ejecutó sin problemas durante aproximadamente una semana antes de que el problema reapareciera.

Traté de desinstalar algunas aplicaciones para ver si debían hacerlo, pero nada cambió después de hacerlo. Sin embargo, noté que si apago el wifi, ni siquiera intentará abrir el navegador (no he probado los datos móviles ya que no tengo un paquete). Esto me hace sentir que podría estar relacionado con algo en la red, pero eso no explicaría por qué solo ese teléfono tendría el problema cuando hay al menos 6 teléfonos Android en esa misma red.

Espero que haya alguien que pueda ayudarme a encontrar la causa de este problema y ayudarme a resolverlo.

TL; DR Al desbloquear mi teléfono, abre el navegador e intenta abrir un sitio web no deseado. Pero solo lo hace mientras está conectado a la wifi.

Cosas que he probado hasta ahora:

• Restablecimiento de fábrica (solo ayudó por un tiempo limitado)
• Borrar el caché del navegador y todos los datos relacionados
• Eliminar cualquier aplicación que no sea confiable
• Intentando encontrar qué lo desencadena (¿parece que se requiere algún tipo de conexión a Internet?)

El dispositivo es el Doogee Shoot 1. En cuanto al navegador, el predeterminado está configurado para ser el navegador de Android, pero si cambio el predeterminado, también usaría Chrome. Parece que realmente solo usa el navegador que está configurado por defecto.

Basado en la resolución de problemas que OP realizó siguiendo mis consejos, el culpable parecía ser una aplicación del sistema como un malware llamado System Locker con el nombre del paquete com.tihomobi.lockframe.syslocker . El problema parece ser el resultado de una actualización del sistema, según algunos usuarios del dispositivo.

Como es habitual con una aplicación del sistema, si puede usar la opción Desactivar en Configuración → Aplicaciones → Aplicaciones del sistema / Todas las aplicaciones → el culpable, que por todos los medios, desactive esa aplicación, la detenga por la fuerza o reinicie el Android. El problema debe resolverse hasta que restablezca de fábrica el dispositivo.

Solución de problemas n. ° 1

Así es como descubrí al culpable. La herramienta integrada de Android dumpsys, entre otras cosas, muestra qué aplicación fue llamada por qué otra aplicación. La persona que llama se denomina Paquete de llamadas.

Siempre que haya configurado correctamente la depuración de adb y usb en la PC y el dispositivo Android, haga lo siguiente:

1. mantenga el dispositivo conectado a la PC
2. reiniciar el dispositivo o forzar-detener esa aplicación de navegador predeterminada
3. deje que el malware haga su trabajo, es decir, que el navegador se inicie automáticamente

4. tan pronto como se inicie el navegador, no haga nada con el dispositivo físicamente, pero ejecute el siguiente comando adb en la PC:

   adb shell dumpsys activity activities
   

Aquí está la salida del dispositivo de OP :

ACTIVIDADES DEL GERENTE DE ACTIVIDADES (actividades de actividad de dumpsys)
Pantalla n. ° 0 (actividades de arriba a abajo):
  Pila # 1:
    ID de tarea # 2
    * TaskRecord {8190ba1 # 2 A = android.task.browser U = 0 sz = 1}
      userId = 0 efectivaUid = u0a64 mCallingUid = u0a26 mCallingPackage = com.tihomobi.lockframe.syslocker
      afinidad = android.task.browser
      intent = {act = android.intent.action.VIEW dat = http: //im.apostback.com/click.php? c = 362 & key = 9wl83884sg67y1acw3z56z90 & s4 = 8% 2FdNwcNuQFEjjaucho5IqA% 3D% 3D flg = 0x10000000 pkg = com. navegador cmp = com.android.browser / .BrowserActivity}
      realActivity = com.android.browser / .BrowserActivity
...
...
Hist # 0: ActivityRecord {66cd59b u0 com.android.browser / .BrowserActivity t2}
          packageName = com.android.browser processName = com.android.browser
          launchedFromUid = 10026 launchedFromPackage = com.tihomobi.lockframe.syslocker userId = 0
          app = ProcessRecord {5ad1810 4337: com.android.browser / u0a64}
          Intención {act = android.intent.action.VIEW dat = http://im.apostback.com/click.php?c=362&key=9wl83884sg67y1acw3z56z90&s4=8%2FdNwcNuQFEjjaucho5IqA%3D%3D flg = 0x10000000 pkg = comx10000000 pkg = comx10000000 pkg = comx10000000 pkg = comx10000000 cmp = com.android.browser / .BrowserActivity}

En la salida::

• com.android.browser es el nombre del paquete del navegador Android en su dispositivo
• com.tihomobi.lockframe.syslocker es el nombre del paquete de la aplicación de malware y se denomina paquete de llamada.

Si ha encontrado el malware, evite la próxima solución de problemas y pase al encabezado Nuke the malware .

Solución de problemas # 2

_{(En respuesta a un duplicado publicado aquí , la aplicación culpable fue Farming Simulator 18 )}

En ciertas circunstancias, la resolución de problemas mencionada anteriormente puede no ser de ayuda, como cuando llamar al nombre del paquete es el nombre del paquete del navegador que se muestra en la salida de dumpsys. En ese caso, prefiera logcat . Configurar logcat de esta manera:

adb logcat -v largo, descriptivo | grep "dat = http" # también puede grep cualquier cosa desde URL. Depende exclusivamente de usted.
adb logcat -v long, descriptivo> logcat.txt # alternativa; si grep no está instalado en su sistema operativo. Necesita buscar en ese archivo ahora.

Ahora desbloquee el dispositivo y deje que el navegador con esa URL se inicie automáticamente. Además, presione Ctrlcon Csi está guardando la salida en un archivo.

El resultado que buscamos sería similar a:

[11-27 16: 03: 22.592 3499: 6536 I / ActivityManager]
START u0 {act = android.intent.action.VIEW dat = https: //livemobilesearch.com / ... flg = 0x10000000 pkg = org.mozilla.firefox cmp = org.mozilla.firefox / .App} 

desde uid 10021
...

[11-27 16: 03: 22.647 3499: 15238 I / ActivityManager]
START u0 {act = android.intent.action.VIEW dat = https: //livemobilesearch.com / ... pkg = org.mozilla.firefox cmp = org.mozilla.firefox / org.mozilla.gecko.BrowserApp} 

desde uid 10331

Consulte los dos UID resaltados 10021 y 10331. Uno de ellos (serían diferentes en su caso) es para la aplicación de navegador iniciada, y uno de ellos es la aplicación de malware que solicita esa URL. Entonces, ¿cómo encontrar qué es qué?

Si tiene acceso de root , simplemente haga:

adb shell su -c 'ls -l / data / data / | grep u0_a 21 '
adb shell su -c 'ls -l / data / data / | grep u0_a 331 '

La salida sería como:

drwx ------ 5 u0_a21 u0_a21 4096 2018-01-01 10:31 com.android.chrome 
drwx ------ 5 u0_a331 u0_a331 4096 2018-01-01 10:31 com.tihomobi.lockframe.syslocker

Si no tiene acceso de root , haga lo siguiente:

adb shell dumpsys package > packages_dump.txt

Ahora busque la línea con sus UID como "userId = 10021" y "userId = 10331". La línea sobre la línea buscada le daría el nombre del paquete, y puede verse así:

Paquete [ com.android.chrome ] (172ca1a):
    userId = 10021
...
Paquete [ com.tihomobi.lockframe.syslocker ] (172ca1a):
    userId = 10331

Los dos nombres de paquete son com.android.chrome (para el navegador Chrome, ciertamente no es un malware) y com.tihomobi.lockframe.syslocker . Para conocer el nombre de la aplicación del nombre del paquete, use mi respuesta aquí .

Destruye el malware

Ahora que conoce al culpable, puede deshabilitarlo a través de la GUI como se indicó anteriormente. Si eso no es posible, haga:

adb shell pm disable-user PKG_NAME # deshabilita la aplicación
adb shell pm uninstall --user 0 PKG_NAME # elimina la aplicación para el usuario principal
adb shell am force-stop PKG_NAME # solo fuerza-detiene la aplicación

Reemplace PKG_NAME con el nombre del paquete del malware que anotó en la solución de problemas anterior.

Eso debería hacer el truco. Además, también puede considerar eliminar la aplicación de malware de forma permanente para todos los usuarios, pero eso requiere acceso de root.

Se necesita un poco más de información para resolver el problema, aunque intentaré encontrar los posibles problemas. Cual navegador? ¿Qué modelo de teléfono? ¿Fue comprado de fuentes oficiales?

En teoría, el restablecimiento de fábrica debería haberle ayudado con el problema. Como no fue así, hay un par de lugares más donde puede obtener algún tipo de adware. En primer lugar, ¿dijiste que desinstalar algunas aplicaciones? ¿Qué aplicaciones en particular? ¿Apareció después de instalar un software en particular?

¿Es tu wifi o estás usando uno público? Si es público, generalmente las empresas envían solicitudes de instalación de aplicaciones y anuncios a través de wifi con relativa frecuencia. Si vives en / cerca de un área ocupada, no te sorprendería si solo fuera alguien que usara para publicitar su producto. Intente usar wifi diferente o el wifi de otra persona, vea si el problema persiste. Si no es así. Es un problema con la red que está utilizando, lo que significa que lo más probable es que necesite cambiar. Puede intentar ponerse en contacto con su proveedor para que lo ayude con eso (tuve un problema como ese antes, mis proveedores de ISP me ayudaron después de contactar al soporte). Además, vea si la red móvil muestra el mismo problema. Si no es así, entonces su opción sería cambiar la red que está utilizando actualmente.