Basado en la solución de problemas que el OP hizo siguiendo mis consejos, el culpable parece ser una aplicación del sistema como un malware llamado Sistema de casilleros con el nombre del paquete com.tihomobi.lockframe.syslocker . El problema parece ser el resultado de una actualización del sistema, según algunos usuarios del dispositivo.

Como es habitual en una aplicación del sistema, si se llega a utilizar el Desactivar opción bajo Ajustes → Aplicaciones → Aplicaciones del sistema/Todas las aplicaciones → el culpable, entonces por todos los medios, desactive esa aplicación, fuerce su detención o reinicie el Android. El problema debería estar resuelto hasta que se restablezca de fábrica el dispositivo.

Solución de problemas #0

Antes de comenzar con los pasos un poco técnicos que se mencionan a continuación, es conveniente probar un solución fácil de usar sugerido aquí . Si eso no te funciona, entonces vuelve y sigue el resto de mi respuesta.

Solución de problemas #1

Así es como descubrí al culpable. La herramienta incorporada de Android dumpsys muestra, entre otras cosas, qué aplicación fue llamada por qué otra aplicación. La persona que llama se denomina Paquete de llamadas.

Siempre que haya configurado adb y usb-debugging con éxito en el PC y el dispositivo Android, haga lo siguiente:

1. mantener el dispositivo conectado al PC

2. reiniciar el dispositivo o forzar la detención de la aplicación del navegador por defecto

3. dejar que el malware haga su trabajo, es decir, que el navegador se inicie automáticamente

4. en cuanto se lance el navegador, no hagas nada con el dispositivo físicamente, pero ejecuta el siguiente comando adb en el PC:

    adb shell dumpsys activity activities

Aquí está el salida del dispositivo de OP :

ACTIVITY MANAGER ACTIVITIES (dumpsys activity activities)
Display #0 (activities from top to bottom):
  Stack #1:
    Task id #2
    \* TaskRecord{8190ba1 #2 A=**android.task.browser** U=0 sz=1}
      userId=0 effectiveUid=u0a64 mCallingUid=u0a26 _mCallingPackage_\=**com.tihomobi.lockframe.syslocker**
      affinity=android.task.browser
      intent={act=android.intent.action.VIEW dat=http://im.apostback.com/click.php?c=362&key=9wl83884sg67y1acw3z56z90&s4=8%2FdNwcNuQFEjjaucho5IqA%3D%3D flg=0x10000000 pkg=com.android.browser cmp=com.android.browser/.BrowserActivity}
      realActivity=com.android.browser/.BrowserActivity
...
...
Hist #0: ActivityRecord{66cd59b u0 com.android.browser/.BrowserActivity t2}
          _packageName_\=**com.android.browser** processName=com.android.browser
          launchedFromUid=10026 _launchedFromPackage_\=**com.tihomobi.lockframe.syslocker** userId=0
          app=ProcessRecord{5ad1810 4337:com.android.browser/u0a64}
          Intent { act=android.intent.action.VIEW dat=**http://im.apostback.com/click.php?c=362&key=9wl83884sg67y1acw3z56z90&s4=8%2FdNwcNuQFEjjaucho5IqA%3D%3D** flg=0x10000000 pkg=com.android.browser cmp=com.android.browser/.BrowserActivity }

En la salida: :

• com.Android.browser es el nombre del paquete del navegador Android de serie en su dispositivo
• com.tihomobi.lockframe.syslocker es el nombre del paquete de la aplicación de malware y se denomina paquete de llamada.

Si ha encontrado el malware, evite la siguiente resolución de problemas y pase al apartado Destruye el malware .

Solución de problemas #2

_{(En respuesta a un duplicado publicado <a href="https://android.stackexchange.com/q/204334/96277">aquí </a>-- la aplicación culpable era <a href="https://play.google.com/store/apps/details?id=com.giantssoftware.fs18.google" rel="nofollow noreferrer">Simulador de agricultura 18 </a>)}

En ciertas circunstancias, la solución de problemas antes mencionada puede no ser capaz de ayudar, como cuando el nombre del paquete de llamada es el nombre del paquete del propio navegador mostrado en la salida de dumpsys. En ese caso, prefiera logcat . Configure logcat así:

adb logcat -v long,descriptive | grep "dat=http"   # you can grep anything from URL too. It is purely up to you.
adb logcat -v long,descriptive > logcat.txt        # alternative; if grep is not installed in your OS. You need to search into that file now.

Ahora desbloquea el dispositivo y deja que el navegador con esa URL se inicie automáticamente. Además, pulsa Ctrl con C si va a guardar la salida en un archivo.

La salida que buscamos sería algo parecido:

\[ 11-27 16:03:22.592  3499: 6536 I/ActivityManager \]
START u0 {act=android.intent.action.VIEW dat=https://livemobilesearch.com/... flg=0x10000000 pkg=org.mozilla.firefox cmp=org.mozilla.firefox/.App} 

from **uid 10021**
...

\[ 11-27 16:03:22.647  3499:15238 I/ActivityManager \]
START u0 {act=android.intent.action.VIEW dat=https://livemobilesearch.com/... pkg=org.mozilla.firefox cmp=org.mozilla.firefox/org.mozilla.gecko.BrowserApp} 

from **uid 10331**

Vea los dos UID destacados 10021 y 10331. Uno de ellos (sería diferente en tu caso) es para la aplicación del navegador lanzada, y uno de ellos es la aplicación de malware que solicita esa URL. Entonces, ¿cómo encontrar qué es qué?

Si tienes acceso a Root simplemente lo hacen:

adb shell su -c 'ls -l /data/data/ | grep u0\_a**21**'
adb shell su -c 'ls -l /data/data/ | grep u0\_a**331**'

La salida sería así:

drwx------  5 u0\_a21    u0\_a21    4096 2018-01-01 10:31 **com.android.chrome**
drwx------  5 u0\_a331    u0\_a331    4096 2018-01-01 10:31 **com.tihomobi.lockframe.syslocker**

Si no tienes acceso a root hazlo:

adb shell dumpsys package > packages_dump.txt

Ahora busque la línea con sus UIDs como "userId=10021" y "userId=10331". La línea por encima de la línea buscada le daría el nombre del paquete, y puede ser algo así:

Package \[**com.android.chrome**\] (172ca1a):
    userId=10021
...
Package \[**com.tihomobi.lockframe.syslocker**\] (172ca1a):
    userId=10331

Los dos nombres de los paquetes son com.Android.chrome (para el navegador Chrome - ciertamente no es un malware) y com.tihomobi.lockframe.syslocker . Para saber el nombre de la aplicación a partir del nombre del paquete, utilice mi respuesta aquí .

Destruir el malware

Ahora que sabe cuál es el culpable, puede desactivarlo a través de la interfaz gráfica de usuario como se ha indicado anteriormente. Si eso no es posible, hazlo:

adb shell pm disable-user PKG\_NAME  # disables the app
adb shell pm uninstall --user 0 PKG\_NAME # removes the app for primary user
adb shell am force-stop PKG\_NAME # only force-stops the app

Sustituir PKG_NAME con el nombre del paquete del malware que anotó en la solución de problemas anterior.

Eso debería servir. Además, también se puede considerar la eliminación de la aplicación de malware de forma permanente para todos los usuarios, pero que requiere acceso Root sin embargo.