Eliminar virus de Android

Yo no soy responsable de cualquier daño causado a ti mismo, tu dispositivo, tus amigos, tu familia, tu gato o tu perro como resultado del uso de esta información. Proceda bajo su propia responsabilidad…
Desde hace aproximadamente dos años, miles o tal vez millones dispositivos con el sistema operativo de Google se han visto afectados por una serie de terribles y molestos virus que son capaces de auto-rootear tu dispositivo e instalarse como system-app, para después mostrarte un sin fin de anuncios e instalarte una amplia variedad de aplicaciones desde video-juegos (Lords Mobile, Gamebox) hasta apps de material erótico (Lutu, Hotsex), dejando tu móvil totalmente lento, sin espacio de almacenamiento y con unos terribles carteles bombardeandote con publicidad a cada momento.
Luego de ver el endemoniado comportamiento de tu dispositivo decides realizar un factory reset desde el recovery, esperando que con eso se solucione el problema. Puede que al encender del reset veas que ya no tienes ninguna app indeseada en tu drawer, procedes a re-configurar, lo conectas a Internet y de repente, ¡bam! , ves que un icono de descarga aparece en tu barra de estado, lo abres y encuentras que las aplicaciones se están descargando de nuevo. Luego de unos 30 de minutos de estar  conectados a Intenet el malware habrá instalado toda esa basura de nuevo. ¿Muy molesto verdad?
Infección masiva en KitKat, si eso fuera un ser humano habría que dispararle en la cara de inmediato.
 
¿Y de que se trata? De adware troyanizado, piezas sofisticadas de código que se insertan dentro de aplicaciones populares como WhatsApp, Facebook, Candy Crush, Twitter, Google Now y miles mas, distribuidas por tiendas de terceros y hasta en la misma tienda de Google.
De acuerdo con el informe de Lookout, una compañía estadounidense de seguridad móvil, este adware puede estar presente en más de 20,000 aplicaciones, las cuales no dejan de perder su funcionalidad original. Inicialmente al instalar cualquiera de estas apps infectadas, no notarás ninguna anormalidad ni la aplicación te pedirá permisos extraños. El troyano hará todo su trabajo en segundo plano, rooteará tu teléfono, instalará aplicaciones en rutas como /system/app o /system/xbin y les dará permisos especiales (intocables). Una vez hecho esto el programa empezará a realizar las cosas para las cuales fue programada, normalmente mostrar toneladas de anuncios e instalar aplicaciones promocionadas, de esa manera los desarrolladores se beneficiarán económicamente.
Lookout también ha identificado tres familias diferentes de adwares, a la primera la denominaron Shuanet la cuál rootea tu teléfono usando exploits públicos para luego esconderse en el directorio /system y desde allí, empezar a mostrar anuncios por encima de tus apps. Kemoge o como ellos la llaman, ShiftyBug, es la familia que más he visto aquí Honduras; está tiene la característica extra de descargar APK’s de fuentes desconocidas e instalarlas repetidamente en tu dispositivo. La última familia es denominada de dos maneras, algunos la conocen como Shedun y otros como GhostPush, está posee la mismas características de las anteriores, descarga e instala aplicaciones automáticamente.
Lutu, la he visto en cientos de dispositivos infectados, al igual que esa Google Search Box muy  rara.
¿Y la solución? En muchos blogs, en inglés y español, andan diciendo que los dispositivos quedan totalmente inservibles y la solución es comprarte uno nuevo; otros dicen que puedes llevarlo donde un profesional para que te lo repare, y es cierto, es algo que se puede solucionar, a veces con facilidad. La solución más común es reinstalar el firmware(la ROM) de nuevo, pero muchas veces no te será posible obtener la ROM para tu dispositivo de marca china ya que normalmente a los fabricantes les importa un carajo el soporte técnico. Es allí cuando tienes que tomarte la ardua tarea de eliminar manualmente cada pieza de software dañina que se encuentre en tu teléfono.



Método 1 – Dificultad: Media-Alta

Esté método es el que uso cuando tengo un teléfono infectado del cual no pude encontrar el firmware, ya sabes de cuales hablo, de los que tienen marcas graciosas. También es el que uso en dispositivos en los cuales no hay muchas apps maliciosas, estos normalmente suelen ser de gama alta, ya que allí la seguridad es poco mejor en comparación con los chinitos de $50.

a) Realiza un restablecimiento de fábrica (hard-reset) a tu teléfono, ya sea desde Ajustes o el recovery. Esto solo eliminará las apps instaladas en el ruta /data/app (apps del usuario) pero las alojadas en /system/app  permanecerán intactas y al conectarte a Internet harán lo suyo, descargar e instalar las aplicaciones nuevamente.

b) Después del hard-reset no conectes tu dispositivo a la Internet. Ahora buscamos un método para obtener acceso root en nuestro Android, te recomiendo que intentes con KingoRoot, iRoot  & RootGenius, si todas ellas fallan es probable que necesites instrucciones especiales para rootear tu dispositivo, busca en Google “root para x-modelo”.

c) Con el acceso root a nuestro dispositivo no será ningún problema eliminar las aplicaciones que se encuentren en la ruta system. Puedes hacerlo gráficamente con una aplicación que te permita desinstalar apps de sistema o puedes eliminarlos mediante un par de comandos adb.

d) Elimina las apps infectadas instaladas en sistema. Busca por aplicaciones con nombres raros (ej: google pay update, com.android.systemUI etc.) o aplicaciones que no hayas instalado, pero debes de tener mucho cuidado ya que si eliminas alguna app que forma parte del sistema te habrás jodido.  Para desinstalar  esas aplicaciones utilizaremos cualquiera de estas herramientas:

Esos systemUI y ciertas aplicaciones eróticas, se instalarán en casi cualquier dispositivo.
 Busca todas las apps que tengan un nombre malicioso si no está de seguro de alguna Googleé el nombre de la apk antes de eliminarla.
Desinstalación de basura con Titatium Backup, una herramienta increíble.
Desinstalando apps con Titanium Backup.

 

e) Puede que algunas aplicaciones no se eliminen, podría probar con otra herramienta pero habrán algunas que no se eliminaran, esas tendrán que ser eliminadas con otro método que veremos más adelante. Por ahora ya que no tenemos muchos problemas instalaremos AdAway en nuestro dispositivo para impedir los odiosos ataques de publicidad. Pásate a esta entrada para saber más.

f) Ahora que ya tenemos nuestro dispositivo un poco más limpio procederemos a eliminar esas odiosas APK’s que se han dado atributos a si mismas para volverse intocables, para eso usaremos la ventana de línea de comandos. Si no tienes adb instalado busca en Google, si ya lo tienes empecemos. Abrid cmd y seguid las imágenes.

adb devices

 

adb shell

 

su

 

mount -o remount,rw /system

 

cd /system/app

 

ls -la

Ese comando nos mostrará todos los archivos alojadas en esa ruta, busca las APK’s maliciosas. Si no encuentras nada, como en mi caso, tendremos que buscar en otra ruta. (Root Uninstaller te da la ruta)

 

cd /system/priv-app

 

ls -la
BINGO!

 

chattr -iaA nombre.dela.apk 
// Ejemplo //
chattr -iaA com.mobi.sexposition.apk 
  

 

Más acerca de chattr aquí 

 

rm com.mobi.sexposition.apk 
rm com.sailer.coolbrowser.apk
rm com.andr0id.cmvchinme.apk
  
 Cuidado com rm, es comando peligroso que te permite eliminar archivos y directorios.
 
Con la ayuda de Root Uninstaller puedes encontrar las apps que no se dejan desinstalar y de una vez te brinda la ruta en la que aloja para que así puedas eliminarlas mediante la ventana de comandos. Una vez hayas eliminado todas las apps puede que ya tengas limpio tu teléfono y listo para usar, pero es recomendado que después de eso realices otro hard reset y te asegures de que no quedo ninguna APK en la memoria interna o externa de tu dispositivo.

Método 2 – Dificultad: Baja-Media

Puede que seas de los desafortunados que hayan eliminados todas las APK’s que pudieron encontrar pero después de todo siempre verán aplicaciones instalándose automáticamente en cada reinicio. Eso significaría una cosa, tu dispositivo tiene un tipo de malware llamado Android Bootkit, cosa que infecta la partition /boot y el cuál puede ser difícil de remover. –Más información aquí-.
Esto normalmente ocurre en dispositivos de gama baja-media con microprocesador MediaTek, y mi solución es formatear la memoria y bajar el firmware original.

       Requisitos

a) Cuando hayas instalado los drivers ydescargado el software necesario; abre FlashTools y carga el archivo MT65XX_Android_scatter.txt que se encuentra dentro de la carpeta del firmware de tu dispositivo.

b) Después de cargar el scatter verifique que todas las imágenes se hayan cargado correctamente, si dejas una desmarcada puede causar hard brick o un boot-loop.
c) Ahora realizaremos un formateo a la memoria de nuestro teléfono. Se formatearan todas las particiones, incluyendo la partición NVRAM, lugar en la que se almacena la información de identificación de nuestro dispositivo, como el IMEI, MAC & Bluetooth Address. Antes de proceder es muy recomendable que tengas un backup de esa partición, aunque debo de decir que he visto dispositivos funcionando perfectamente con la NVRAM/IMEI corrupta, así que si te arriesgas puedes proceder.
d) Cuando el formateo haya finalizado retire la batería de su dispositivo, en Flash Tools presione el botón Download o la tecla F9, un mensaje de advertencia podría aparecer, solo ignórelo presionando el Yes!. Por último inserte la batería, conecte el teléfono a la PC y después de unos minutos, suponiendo que el proceso fue éxito, tendrá que ver eso:
Si en lugar de eso obtiene un mensaje de error, le invito a que lo busque en la recopilación de errores que los chicos de Kustruki se han armando, podría ayudarte mucho. Aquí
 
e) Puede que después del flasheo se que “trabado en el logo”, la solución a eso es un hard reset desde el menu de fábrica o el recovery. Cuando encienda es muy recomendable que lo rootee, para que pueda restaurar la NVRAM y para que instale AdAway.  Ahora tiene su teléfono limpio y listo para usar.
 
Si esto fue te ayuda para ti considera compartir este articulo o regalarme una taza de café para continuar escribiendo hasta tarde.   






Leave a Reply

11 Comentarios on "Eliminar virus de Android"

Notifícame de
avatar
Ordenar:   nuevo | antiguo | más votado
José María
Invitado

Hola. He probado todo y estoy a punto de tirar la toalla. Como puedo formatear la memoria en un Galaxy Tab 10.1? (P7500) El procesador es Nvidia Tegra y la batería no es extraíble. No me instala aplicaciones, pero me bloquea las Gapps. Después de formatear completamente el tablet y reinstalar, me salen 2 Launcher al inicio. Gracias

wpDiscuz
A %d blogueros les gusta esto: