Si los atacantes tenían privilegios de administrador / sistema / nivel de raíz en su computadora, tienen muchas posibilidades de hacer una puerta trasera permanente a su computadora. No muchos atacantes pueden hacer este tipo de persistencia, pero es posible.
La mejor solución es empaquetar todos sus dispositivos que tengan más de un 0% de probabilidad de infección (y etiquetar la caja con algo como "infectado, no usar") y comprar una computadora nueva y un teléfono nuevo. pero no lo ordene en su casa, vaya y compre uno en una tienda local aleatoria. Y no confíe en ninguno de sus datos antiguos de las copias de seguridad antiguas. Según su nivel paranoico, ni siquiera los archivos de imagen, música o video pueden ser confiables, pero es seguro que el 99%. Los documentos de MS Office pueden ser un riesgo más probable.
Creo que los mismos ataques son más o menos posibles en los dispositivos Android, pero no se conocen casos de estos, al menos que yo sepa. Creo que la puerta trasera más fácil sería reemplazar el gestor de arranque.
Detectar tales rootkits intrusivos es difícil. No hay una forma sencilla de comprobar si hay rootkits. La forma más fácil de hacer esto es deshabilitar los servicios en su computadora que se comunican con internet hasta que nada se comunique, y ejecutar tcpdump en su enrutador durante días. Después de eso, analice el tráfico y busque direcciones IP / dominios desconocidos. Mientras tanto, compruebe si hay fugas en el canal lateral como WiFi o Bluetooth. La mayoría de los rootkits se pueden encontrar a través de este método. Crear una actividad falsa (por ejemplo, escribir en un editor de texto, generar nuevas claves PGP falsas) podría ayudar a desencadenar el mal tráfico.
Cuando se trata de la detección de rootkits en Windows, mi experiencia personal es que GMER puede encontrar la mayoría de los rootkits, pero no todos.