Google Play Services muestra esa ventana emergente.
Ryan M (un empleado de Google/Android en el momento de escribir esto) comentó:
[...] estas cadenas están presentes en el código de Google Play Services para la funcionalidad de actualización, por lo que, aunque personalmente no he visto esa pantalla exacta, creo que es real.
Sin embargo, esto realmente no ayuda al usuario a determinar si la ventana emergente que ven es legítima o no.
Eli Billauer publicó una explicación detallada sobre cómo prevenir la actualización del sistema Android en su sitio web, incluyendo la ventana emergente. Citando las partes relevantes sobre cómo verificar quién es responsable de la ventana emergente (la salida del registro está recortada por brevedad):
¿Quién está detrás de la ventana emergente?
El primer paso es averiguar qué paquete inicia la solicitud de una actualización.
[...]
Ahora, algo práctico. Cuando aparezca la ventana emergente, haz
$ adb shell dumpsys window windows > dump.txt
Eso produce mucha salida, pero había este segmento:
Ventana #10 Window{28d0746 u0 com.google.android.gms/com.google.android.gms.update.phone.PopupDialog}:
[...]
mOwnerUid=10146 showForAllUsers=false package=com.google.android.gms appop=NONE
[...]
mBaseLayer=21000 mSubLayer=0 mToken=ActivityRecord{577992f u0 com.google.android.gms/.update.phone.PopupDialog t26}
mActivityRecord=ActivityRecord{577992f u0 com.google.android.gms/.update.phone.PopupDialog t26}
[...]
WindowStateAnimator{9e9cbdf com.google.android.gms/com.google.android.gms.update.phone.PopupDialog}:
mSurface=Surface(name=com.google.android.gms/com.google.android.gms.update.phone.PopupDialog)/@0x223f02c
[...]
También, en la salida de
$ adb shell dumpsys > all.txt
hubo una sección mucho más concisa que decía (prácticamente al principio de este archivo enorme):
Display 4619827677550801152 HWC layers:
---------------------------------------------------------------------------------------------------------------------------------------------------------------
[...]
---------------------------------------------------------------------------------------------------------------------------------------------------------------
com.google.android.gms/com.google.android.gms.update.phone.PopupDialog#0
rel 0 | 1 | DEVICE | 0 | 48 698 1392 2511 | 0.0 0.0 1344.0 1813.0 | [*]
---------------------------------------------------------------------------------------------------------------------------------------------------------------
[...]
Esto es mucho mejor, porque la ventana en foco está claramente marcada. No hay necesidad de adivinar.
Otro lugar donde mirar es
$ adb shell dumpsys activity recents > recent.txt
Donde decía:
* Reciente #0: Task{51b5cb8 #26 type=standard A=10146:com.google.android.gms U=0 visible=true mode=fullscreen translucent=true sz=1}
userId=0 effectiveUid=u0a146 mCallingUid=u0a146 mUserSetupComplete=true mCallingPackage=com.google.android.gms mCallingFeatureId=com.google.android.gms.ota_base
affinity=10146:com.google.android.gms
intent={act=android.settings.SYSTEM_UPDATE_COMPLETE flg=0x10848000 pkg=com.google.android.gms cmp=com.google.android.gms/.update.phone.PopupDialog}
mActivityComponent=com.google.android.gms/.update.phone.PopupDialog
[...]
Activities=[ActivityRecord{577992f u0 com.google.android.gms/.update.phone.PopupDialog t26}]
[...]
Esto es interesante, ya que indica qué Intent y Activity están detrás de la ventana emergente, simplemente preguntando cuáles fueron las últimas solicitudes de Activity. Aún más importante, si la ventana emergente fue desestimada o desapareció por alguna otra razón, todavía se puede encontrar aquí.
Por lo tanto, no hay duda, es com.google.android.gms la que está detrás de esta ventana emergente. Ese es el Servicio Móvil de Google, y es un paquete responsable de muchas cosas. [...]
En la sección "ACTIVITY MANAGER PENDING INTENTS (dumpsys activity intents)" se encontró
# 8: PendingIntentRecord{50a35f1 com.google.android.gms/com.google.android.gms.ota_base broadcastIntent}
uid=10146 packageName=com.google.android.gms featureId=com.google.android.gms.ota_base type=broadcastIntent flags=0x2000000
requestIntent=act=com.google.android.chimera.IntentOperation.TARGETED_INTENT dat=chimeraio:/com.google.android.gms.chimera.GmsIntentOperationService/com.google.android.gms.update.INSTALL_UPDATE pkg=com.google.android.gms (has extras)
sent=true canceled=false
lo cual supongo indica que com.google.android.gms ha solicitado ejecutar su propio .update.INSTALL_UPDATE en una etapa posterior. En otras palabras, esta es la indicación de la solicitud recurrente para ejecutar el intent INSTALL_UPDATE.
Por lo tanto, si com.google.android.gms/.update.phone.PopupDialog
aparece en la salida del registro, entonces debería ser una ventana emergente legítima de Google Play Services. De lo contrario, también se mostrará el nombre del paquete de la aplicación ofensiva.