Il y a quelques jours, j’ai remarqué une chose particulière avec mon smartphone Android Vsun qui fonctionne sous Android 6.0: à des occasions aléatoires lorsque j’ai ouvert ou en utilisant Diode (une application client Reddit open source), le navigateur de stock s’affichait et ouvrait une page Web appelée Recherche Mobile en direct (livemobilesearch.com ).
La page est un moteur de recherche alimenté par Google, mais il y a une annonce Google en haut de la page. Pendant que le moteur de recherche fonctionne, l’annonce s’actualise lors de la saisie et ouvre d’autres fenêtres de recherche. Ceci couplé à son lancement automatisé m’a rapidement confirmé qu’il s’agissait probablement d’un « virus » publicitaire.
Page d’accueil de Recherche Mobile en Direct
Une recherche rapide en ligne a révélé que certains utilisateurs d’Android rencontraient un problème similaire avec le logiciel publicitaire. La première victime de cet adware exact que j’ai pu trouver en ligne était une question de StackExchnage qui remonte à 2017 bien que l’adware semble remonter aussi loin que 2012 en passant par ce fil central Android.
Néanmoins, le logiciel publicitaire semble être devenu plus répandu au cours des derniers mois si ces threads Reddit sont quelque chose à faire. Personnellement, je l’ai remarqué vers la 2e semaine de mars 2019.
En passant par les récits de ces autres victimes, le blâme pour le logiciel publicitaire est probablement une application que l’on a peut-être installée récemment. Pour certaines victimes de Reddit, cette application s’est avérée être l’émulateur MegaN64.
Pour le reste cependant, le problème reste un grand mystère car ils affirment n’avoir installé aucune nouvelle application récemment. Alors qu’est-ce qui donne?
Adware préchargé?
Eh bien pour moi, ce n’est pas un événement nouveau. C’est la deuxième fois que je remarque des logiciels publicitaires avec mon téléphone particulier.
La première fois était à la fin de l’année dernière lorsque j’ai remarqué des annonces RevContent sur mon panneau de notification. Après certaines de mes enquêtes, il s’est avéré que l’application de mise à jour logicielle préinstallée sur le téléphone était celle qui était responsable de la diffusion des publicités.
Je n’ai cependant pas pu désinstaller cette application car il s’agissait d’une application système et toutes mes tentatives d’enracinement ont échoué jusqu’à présent. L’option de désactivation était également indisponible pour l’application. Heureusement, l’effacement des données semblait résoudre le problème et je n’ai plus jamais rencontré ces annonces.
Trois mois plus tard et un nouveau logiciel publicitaire est apparu. Coïncidence ? Je ne le pense pas, mais pendant quelques jours, j’étais convaincu que ce devait être une application différente cette fois-ci.
Ce n’est qu’après avoir désinstallé quelques applications récentes sans succès que j’ai soupçonné l’application de mise à jour logicielle d’y être à nouveau. J’ai donc vérifié les détails de son application et il s’est avéré qu’il avait accumulé de nouvelles données ces derniers mois sans que je m’en rende compte. Quoi qu’il en soit, j’ai effacé ses données d’application et forcé l’arrêt.
Je suis ensuite retourné et j’ai essayé de lancer la diode et cette fois, rien ne s’est passé. Cependant, comme je l’ai souligné au début de l’article, le comportement des logiciels publicitaires était aléatoire et, par conséquent, tous les lancements ne l’ont pas déclenché.
Je lui ai donc accordé un délai de grâce d’un jour et j’ai continué à lancer Diode de temps en temps pour voir si l’annonce allait apparaître. Cela ne s’est fait que quelques jours plus tard.
Comment supprimer le livemobilesearch.com Adware
Comme vous pouvez le constater, effacer les données et forcer l’arrêt de l’application est une mesure très temporaire pour faire face à cette menace. En effet, l’application dispose d’un récepteur de démarrage, ce qui signifie qu’elle se lancera chaque fois que vous redémarrez l’appareil.
Le seul moyen sûr d’arrêter le logiciel publicitaire est de désinstaller ou de désactiver l’application responsable. Mais avant d’y arriver, vous devez établir quelle application est à l’origine de cela.
Étape 1: Recherchez l’application avec un logiciel publicitaire
Si le logiciel publicitaire n’a commencé à apparaître que récemment, essayez d’abord de désinstaller toutes les applications que vous avez installées récemment. Faites-le un par un et essayez de déclencher l’adware après chaque désinstallation. De cette façon, vous pouvez établir l’application affectée et vous en éloigner à l’avenir.
Si vous n’avez pas de patience pour cela, sauvegardez simplement les données dont vous avez besoin et effectuez une réinitialisation d’usine.
D’autre part, si vous n’avez installé aucune nouvelle application dans un passé récent, il est probable qu’une application système en soit responsable. Pour tracer l’application système responsable, utilisez les instructions fournies dans cette réponse.
Vous devrez activer le débogage USB sur votre téléphone et un PC pour le connecter au pont de débogage Android (ADB) afin d’exécuter les commandes via la ligne de commande de Window.
Étape 2: Supprimez l’application Système affectée
Si vous disposez d’un accès root, désinstallez ou figez l’application système affectée. Vous pouvez utiliser une application comme SD Maid ou Titanium Backup pour le faire.
Si vous n’avez pas d’accès root, essayez de désactiver l’application en accédant aux détails de l’application dans Paramètres > Applications. Activez l’option Afficher le système pour afficher toutes les applications.
Afficher les Applications Système
Il y a de fortes chances que vous trouviez que l’application ne peut pas être désactivée. C’était aussi ma situation.
Bouton Désactiver grisé
Néanmoins, nous pourrons peut-être toujours désactiver l’application en utilisant ADB.
Pour ce faire :
1. Découvrez d’abord le nom du package de cette application système. Un moyen simple et rapide de le faire consiste à utiliser une application d’informations système comme Elixir ou à utiliser SD Maid en vérifiant dans la section AppControl.
2. Maintenant, avec le débogage USB activé, connectez votre téléphone à votre PC envoyez la commande ADB suivante au téléphone (remplacez com.Rock.gota avec le nom de votre paquet):
adb shell pm désactiver – utilisateur com.Rock.gota
Si cela fonctionne, la commande répondra avec succès.
Dans mon cas, il a échoué et a renvoyé l’erreur suivante:
Erreur : java.lang.SecurityException: Déni d’autorisation: tentative de modification de l’état du composant à partir de pid=21031, uid= 2000, uid de package=10077
3. Si vous obtenez également une erreur, la prochaine chose que nous pouvons essayer est de supprimer l’application pour l’utilisateur principal actuel, c’est-à-dire que l’application sera désinstallée pour vous, mais sera toujours disponible pour tous les autres utilisateurs que vous avez créés sur ce téléphone.
Pour ce faire, envoyez la commande suivante (remplacez com.Rock.gota avec le nom de votre paquet):
désinstallation du shell adb pm – utilisateur 0 com.Rock.gota
Si cela fonctionne, la commande répondra avec succès. J’espère que ce sera comme dans mon cas.
Commandes ADB
4. Maintenant, revenez simplement sur votre téléphone et dans les paramètres de l’application.
Application Supprimée pour l’utilisateur actuel
Vous devriez trouver que l’application est désactivée ou est répertoriée comme non disponible pour l’utilisateur actuel, comme indiqué ci-dessus.
Méfiez-vous des smartphones Android bon marché
Comme je l’ai conclu dans mon autre article lorsque j’ai rencontré le premier adware, ce problème est sans doute un stratagème délibéré orchestré par des fabricants ou des vendeurs peu scrupuleux.
Leur objectif, à mon avis, est de créer une sorte de botnet publicitaire (« adbotnet? ») dont ils peuvent profiter longtemps après avoir vendu leurs appareils à des prix très réduits. Les suspects évidents ici comprennent principalement de petites marques inconnues de smartphones chinois.
Contrairement à la grande majorité des attaquants de petite taille qui doivent infecter des applications légitimes avec leurs logiciels publicitaires ou les développeurs de logiciels qui ont recours à regrouper leurs applications avec les mêmes, ces fabricants ont un avantage particulier: le préchargement des logiciels publicitaires en tant qu’application système leur garantit la sécurité de la détection et de la désinstallation.
Cela explique pourquoi la première victime que j’ai citée s’est plainte de la persistance du logiciel publicitaire même après une réinitialisation d’usine. Attention, son appareil était un tout nouveau smartphone (un Doogee Shoot 1). Comme il s’est avéré plus tard pour plusieurs utilisateurs avec un appareil similaire, le coupable était une application système appelée System Locker.
En tant que tel, méfiez-vous des marques Android bon marché auxquelles vous ne faites pas confiance. C’est la seule vraie solution à long terme à tout cela. Associez cette mesure au téléchargement d’applications uniquement à partir de Google Play Store ou d’autres magasins d’applications réputés comme F-droid.
Note latérale: (depuis que j’ai remarqué que les gens ont l’habitude de porter la mentalité de l’écosystème de la fenêtre sur Android) ne comptez pas sur l’installation d’antivirus Android car ils ne feront pas grand-chose pour ce type de malware et il en va de même pour la myriade de « nettoyeurs » qui ne font pas grand-chose d’autre que des publicités affichées. Comme on dirait, le meilleur antivirus, c’est vous l’utilisateur.