Attenti al virus Daam: è due volte pericoloso
Dopo l'Europa, ora anche in India: il malware Daam sta circolando in tutto il mondo e sta mettendo a rischio milioni di smartphone Android con le sue pericolossisime capacità
Si chiama Daam, è un malware molto pericoloso con alle spalle un’altrettanto pericolosa “botnet” e, purtroppo, si sta diffondendo in mezzo mondo: dopo le prime segnalazioni a metà aprile, effettuate in Europa dal Malware Hunter Team, infatti, adesso è arrivato un allarme specifico da parte del Computer Emergency Response Team del Governo Indiano. In mezzo, a conferma della pericolosità di Daam, è arrivato un dettagliato report da parte di Cyble Research & Intelligence Labs.
Cos’è Daam
Daam è una “botnet“, cioè una rete di dispositivi infetti che vengono utilizzati da remoto come se fossero degli “zombie”, al fine di effettuare attacchi su altri dispositivi o diffondere malware di vario tipo. Nel caso specifico il malware Daam è doppio e due volte pericoloso, perché ha le funzioni di uno spyware, ma anche di un ransomware.
Appena entra in un dispositivo Android, solitamente tramite un’app infetta, Daam tenta di scavalcare la barriera del Google Play Protect e di eventuali antivirus installati dall’utente. Se ci riesce, allora sono guai perché la lista delle capacità di Daam è veramente lunga. Questo virus, infatti, può fare di tutto sul telefono:
- Spiare e registrare la scrittura su tastiera
- Registrare le chiamate e videochiamate VOIP (come quelle di WhatsApp)
- Registrare le chiamate telefoniche
- Scattare foto con la fotocamera
- Leggere i dati presenti negli appunti
- Leggere la cronologia del browser
- Cambiare i parametri delle connessioni WiFi
- Eseguire codice senza permesso
- Criptare tutti i dati e chiedere un riscatto
Daam, come tutti i virus moderni, è un “MAAS” (Malware As a Service), cioè viene dato in affitto ai criminali che lo vogliono usare pagando un canone mensile. Incluso nel canone c’è un vero e proprio pannello di controllo dal quale l’hacker può gestire l’enorme quantità di dati rastrellati dal malware e inviati ai server della botnet.
Sempre dal pannello è possibile ordinare l’esecuzione di altro codice e gestire i messaggi di richiesta di riscatto. Questo perché, come accennavamo prima, Daam è anche un ransomware e può criptare tutti i dati del telefono. Se l’utente vorrà sbloccarli, quindi, dovrà pagare un riscatto come da richiesta inviata da remoto, tramite il pannello.
Come difendersi da Daam
A metà aprile 2023 il Malware Hunter Team ha pubblicato gli “indicatori di compromissione” (cioè la prova di una infezione virale) di Daam all’interno di un file Apk: quello dell’app Psiphon.
Psiphon è un’app open source sviluppata dall’Università di Toronto per aggirare la censura dei Governi su Internet. Si tratta di un’app assolutamente legittima e non infetta, ma che è stata sfruttata per diffondere Daam: gli hacker hanno creato una versione fake infetta di Psiphon proprio per far girare il malware.
L’app è stata anche caricata sul Play Store ufficiale di Google, dove è stata però individuata e bloccata da Google Play Protect. Tuttavia è ancora disponibile su store alternativi, sotto forma di file Apk da installare manualmente.
Non è affatto da escludere che Psiphon non sia l’unica app presa di mira da Daam: ce ne potrebbero essere anche altre già infette, ma ancora non scoperte, sia sul Play Store che altrove. Chiaramente scaricare le app solo dal Play Store è meno rischioso, ma non garantisce la sicurezza assoluta.
In fase di installazione di qualunque app, per questo, consigliamo sempre di verificare la lista delle autorizzazioni richieste: se un’app chiede di poter fare una delle cose che può fare Daam, ma non ha un reale motivo per chiederlo, allora è sempre meglio dubitare.
