FluBot, c’est une vieille connaissance qui avait déjà causé des ravages en 2021 et des pertes estimées à plusieurs centaines de millions d’€. Depuis ce premier tsunami, ce logiciel malveillant revient régulièrement par vague. Décelée dès avril 2022 et toujours en cours, la dernière de ces vagues attaque spécifiquement toute une série de pays européens, dont la Belgique.

Comment reconnaître FlutBot et s’en protéger

Régulièrement modifié et relancé par différents réseaux de pirates, FluBot est un cheval de Troie (trojan) qui se propage par smishing.

Qu’est-ce qu’un cheval de Troie ? C’est un type de logiciel malveillant (malware) qui avance masqué, qui fait tout pour se présenter comme une application inoffensive et digne de confiance. Plus spécifiquement, FlutBot est un cheval de Troie bancaire, dans ce sens où il vise spécifiquement le vol des données bancaires les plus sensibles, celles de nature à vider vos comptes en banque.

Qu’est-ce que le smishing ? C’est une méthode d’arnaque et de manipulation qui s’appuie sur le SMS pour inviter les destinataires à cliquer sur un lien dangereux et à installer une « app » tout aussi dangereuse. Le SMS de smishing agite une menace ou une récompense pour vous inciter à cliquer et à installer ce qui ne doit pas être cliqué et installé.

Le prétexte du colis

Dans sa version française actuelle, FlutBot tente de s’immiscer sur votre smartphone Android via un SMS qui évoque un colis que vous vous apprêtez à recevoir. Après le texte « Votre colis a été envoyé. Veuillez le vérifier et le recevoir », le SMS mentionne un lien hypertexte sur lequel il ne faut pas appuyer sous peine de mettre un premier orteil dans le piège.

Le SMS de smishing de la vague actuelle de diffusion du virus FlutBot fait mention d'un prétendu colis.

Si jamais vous cliquez malgré tout sur le lien, votre téléphone Android ouvrira une nouvelle fenêtre, vous demandant l’autorisation d’installer une application venant d’une source inconnue. Baptisée Voicemail, cette « appli » se présente faussement comme une sorte de messagerie vocale qui contient un message concernant le fameux colis invoqué.

Evidemment, c’est FluBot qui se dissimule derrière Voicemail. Dès l’installation, le cheval de Troie réclame une kyrielle d’autorisations pour se lancer à corps perdu dans deux tâches :

- La recherche et la transmission de vos données bancaires au groupe de pirates à l’origine de la vague de smishing.

- L’envoi discret aux numéros de téléphone de vos contacts du même SMS de smishing, afin de perpétuer la chaîne de diffusion.

Comme le souligne l’éditeur d’antivirus Bitdefender, FluBot est du genre difficile à désinstaller. L’application verrouille au maximum son installation et sa présence. Sur cette page, le site officiel belge Safe on Web donne de précieux conseils pour réussir à désinstaller FluBot.

Pas la dernière vague de l’année

Bitdefender insiste. Après cette vague européenne, FluBot reviendra d’ici la fin de l’année 2022. « Malgré l’arrestation de plusieurs personnes soupçonnées d’exploiter le logiciel malveillant », estime la firme de cybersécurité, « les campagnes FluBot se sont intensifiées ces derniers temps, ce qui signifie qu’il n’y a aucune raison de ne pas s’attendre à d’autres vagues d’attaques à l’avenir. »

L’iPhone redirigé vers des sites frelatés

FlutBot est spécifiquement programmé pour s’inviter de force dans les entrailles du système d’exploitation Android de Google. C’est pour cela que les iPhone, animés par iOS, sont partiellement épargnés par ces ravages. Prudence toutefois, FlutBot n’est pas totalement inoffensif sur les téléphones d’Apple. Un propriétaire d’iPhone qui clique sur le lien d’un SMS de FluBot sera automatiquement dirigés sur des sites qui vont eux aussi essayer de lui soutirer des informations confidentielles.