Daam, il ransomware a doppia estorsione per Android

È stata segnalata dal CERT-Indiano la diffusione di un malware Android, deniminato “Daam“, che sarebbe in grado di rubare dati sensibili e eludere gli antivirus distribuendo ransomware sui dispositivi target.

Le due componenti Daam

Il malware, veicolato tramite siti Web di terze parti o file apk scaricati da fonti non attendibili, presenterebbe una componente infostealer e una ransomware.

Una volta inserito nel dispositivo infatti il malware cercherebbe di aggirare i controllo di sicurezza e di rubare dati sensibili come registro chiamate, schermate e SMS, inviando il tutto al server di comando e controllo stabilendo con esso una connessione socket all’indirizzo hxxp://192.99.251[.]51:3000.

Funzione di configurazione connessione

La componente ransomware utilizzerebbe l’algoritmo di crittografia AES per cifrare i file nel dispositivo della vittima aggiungendo l’estensione “.enc” e rilasciando una richiesta di riscatto in un file di testo “readme_now.txt“. In particolare verrebbero cifrati i file con estensione “txt”, “jpg”, “bmp”, “png”, “pdf”, “doc”, “docx”, “ppt”, “pptx”, “mp3”, “mp4”, “avi”, “mpeg” solo se presenti nella Card SD.

Funzione di crittografia

Consigli

Per attenuare il rischio di scaricare app potenzialmente dannose sui propri dispositivi mobili si consiglia di utilizzare per il download solo gli app store ufficiali, installare aggiornamenti e patch Android quando disponibili, installare e mantenere aggiornato un software antivirus anche sui dispositivi mobili.

Ulteriori dettagli e gli IoC sono disponibili sul bollettino di sicurezza del CERT-In.

Su Salvatore Lombardo 296 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.