Empezaré con lo más divertido que hizo el desarrollador del malware. El desarrollador que creó este malware con etiqueta Android 6.0 Marshmallow, versión 6.0(6) y nombre del paquete com.xtrlee.fiehan Tampoco se molestó en poner una actividad o una superposición (estaba de moda) ni una pantalla de bloqueo (la última tendencia a partir de ahora). Decidieron emplear un Toast a pantalla completa (has leído bien). Esto es lo que dumpsys window windows y dumpsys appops reportado en Android 5.1 (probado en Android-x86).

Eso me explica por qué la vista no era constante sino que parpadeaba.

Ahora, al contrario de los permisos que necesitaría un típico ransomware, este malware comparativamente no exigió nada significativo. Los peligrosos permisos que pedía consistían en enumerar todos los archivos disponibles en su almacenamiento externo (tanto de la tarjeta SD interna como de la externa) y enumerar la información del dispositivo, como el ID de Android, el IMEI y otra información para identificar de forma exclusiva tu dispositivo.

La aplicación está dirigida a la versión 21 del SDK (Android 5.0, no 5.1) y funcionaría en Android 2.2 y superiores (el autor debe haber planeado someter a todo el mundo). Los datos del usuario en mi opinión nunca serían tocados por esta app ya que no pedía la permiso para escribir en el almacenamiento externo .

Componentes interesantes

Por lo que he entendido, el malware definitivamente no es una obra de arte. Tiene una actividad principal que es responsable de mostrar el icono de la aplicación en el cajón de aplicaciones. También actúa de forma divertida. Si se lanza la aplicación por primera vez, se mostrará al usuario un cuadro de diálogo para que se convierta en administrador del dispositivo. Si se cancela el diálogo, se volverá a mostrar. Sin embargo, si el usuario no actúa en los próximos 10 segundos, el diálogo se cierra inmediatamente y la actividad principal se desactiva . La aversión automática al desastre, tan genial.

Así es como se ve ese diálogo:

El resto de los componentes son varios receptores que ayudan en la administración del dispositivo y en el inicio de la aplicación una vez que se completa el proceso de arranque.

La solución

Has cometido una serie de terribles errores y crees que tus datos están secuestrados. ¿Qué hacer para salvar los datos y deshacerse de esta supuesta actualización-rescate? Siga cualquiera de los enfoques indicados a continuación:

La depuración USB ya está habilitada y autorizada

Utilizando adb y acceso Root, puedes encontrar el apk en /datos/app/ , retírelo y reinicie el dispositivo. También puedes conseguirlo desde un recovery personalizado. Como alternativa, con adb solo, puedes forzar la detención de la aplicación.

adb shell am force-stop com.xtrlee.fiehan

Si el comando anterior no ayuda, en Android 5.1.x, puedes hacer que appops deniegue al malware el permiso para mostrar la tostada.

adb shell appops set com.xtrlee.fiehan TOAST_WINDOW deny

Aprovecha esta oportunidad para ir a la configuración del administrador del dispositivo y desactivar el ransomware. Después de eso, debes ir al administrador de aplicaciones y desinstalar ese malware.

La depuración USB no está habilitada o autorizada

Si tu dispositivo no tiene activada la depuración USB, tu única esperanza parece ser arrancar en modo seguro . Afortunadamente, la aplicación no obstruye el menú de encendido (no al menos en Android 4.3 y superior), por lo que puede pulsar prolongadamente el botón de encendido → pulsar prolongadamente el botón de apagado → tocar OK cuando se le pida que reinicie en modo seguro. Una vez que el dispositivo arranca en modo seguro,

1. debes abrir la configuración de seguridad que suele bajar a la app de Ajustes → Seguridad → Administradores del dispositivo → Desactivar el ransomware. Si se te muestra algún diálogo de que los datos serían borrados, ignóralo. No va a suceder más en esta etapa.
2. debes eliminar la app desde el gestor de aplicaciones que es más o menos la app de Ajustes → Apps → Todas las apps → toca la entrada de la app → Desinstalar.
3. debes hacer un reinicio para arrancar el dispositivo en modo normal.

Y así es como eliminé ese malware varias veces en este día.

Recomendación

Si no eres un usuario avanzado, no te aventures en territorio desconocido. Esto se reduce a

• no carga lateral ninguna aplicación;
• mantener la configuración de Fuentes desconocidas siempre desactivada;
• no conceder nunca privilegios de administración de dispositivos a ninguna aplicación (incluso a las instaladas desde Play Store) hasta estar seguro de que la aplicación es segura;
• Tómate un minuto para reportar la página/sitio malicioso si lo encuentras a tu motor de búsqueda web favorito. En el caso de Google, puede denunciar aquí .
• usando la cabeza antes de que salten los dedos.