Los síntomas enumerados en la pregunta indican que el malware ha infectado la ROM (la partición del sistema, muy probablemente) o que ya venía con la ROM y ahora ha empezado a mostrar su color.
En tu caso particular, como tu corazonada resultó ser correcta, parece ser la aplicación App Center la que estaba actuando como el malware. Desactivándola se detuvo esas instalaciones.
Si alguien ha identificado ese malware como una aplicación del sistema que no se puede desinstalar, vea si puede desactivarlo desde la GUI. Para desactivarlo, vaya a Ajustes aplicación → Aplicaciones → (línea de tres puntos, si existe → Muestra el sistema) Todas las aplicaciones → su aplicación → Desactivar .
Si el botón de desactivación está en gris y si no tienes acceso a root entonces puedes bloquear la aplicación para que no se ejecute. En primer lugar, deberá identificar el nombre del paquete de esa aplicación maliciosa. Puedes utilizar una aplicación, como AppXplore para conocer el nombre del paquete. Por ejemplo, en la captura de pantalla aquí el nombre del paquete de la aplicación Fondos de pantalla en vivo para Android es com.Android.wallpaper que aparece debajo del título de la aplicación. También puedes encontrarlo para tu malware.
A continuación, configure adb en el PC, activar usb-debugging y ejecutar los comandos:
adb shell pm hide PACKAGE # for Android Lollipop
adb shell pm uninstall --user 0 PACKAGE # for Android Marshmallow and Nougat. This is bit tricky. Some reports its result positive, while others, negative.
adb shell pm disable-user PACKAGE # alternative to aforesaid second command for Android 5.0 and above
adb shell pm block PACKAGE # for Android Kitkat
adb shell reboot
PAQUETE debe ser sustituido por el nombre del paquete de la aplicación maliciosa.
Sepa que si tiene problemas para identificar la aplicación de malware puede tener que probar algunas cosas, como
- monitorización de la red mediante un cortafuegos o un monitor del sistema para distinguir esa aplicación, como por ejemplo a través de la aplicación OS Monitor, o
- identificando las aplicaciones del sistema con firmas que no coinciden con las de su OEM y Google y luego analizando cuál de los restos podría ser el malware.
- quizás escanear el teléfono con alguna herramienta anti-malware de Play Store podría ayudar también
-
Por último, si la aplicación de malware fue lo suficientemente estúpida como para dejar el nombre del paquete instalador como su propio nombre de paquete, entonces siempre que tengas al menos una de las aplicaciones instaladas automáticamente (como Clean Master) por ese malware, podrías hacerlo:
adb shell pm list packages -i PACKAGE
Esto mostraría algún nombre de paquete junto a installer= . Si es null entonces tienes que probar otra cosa hasta que descubras el nombre del paquete de la aplicación maliciosa.
Si tienes acceso a Root , puede optar por desactivar o eliminar la aplicación de malware. Hay muchas aplicaciones en Play Store, como Titanium Backup, System App Remover, y similares que pueden eliminar o desactivar una aplicación del sistema. Utiliza cualquiera de ellas para eliminar el malware. Tenga mucho cuidado La eliminación de una aplicación del sistema puede hacer que su teléfono no arranque y eso significa, hacer un viaje al centro de servicio de su OEM o ensuciarse más las manos.
Por último, si puedes instalar una ROM personalizada o si estás seguro de que tu ROM de stock estaba limpia y tienes acceso a ella, entonces por todos los medios, haz que el dispositivo sea flasheado por ti mismo o por quienes puedan hacerlo por ti. Ejecutar un sistema ya comprometido por un malware es un negocio arriesgado.
Y mantener el Fuentes desconocidas en Configuración → Seguridad deshabilitado, para permanecer en el lado seguro.
