A Trusteer internetes biztonsági cég szerint a Citadel káros szoftver új verziója a Payza online fizetési rendszert is célba tudja venni azzal, hogy az áldozatok böngészőjéből indít támadást, amivel meg tudja szerezni azok felhasználói adatait. A Citadel egy olyan trójai program, amelynek elsődleges célja hogy online banki felhasználói adatokat szerezzen, de már találtak olyan verziót is, amely a Reveton ransomware-rel működött együtt, amely zárolja a számítógépet, és pénzt zsarol ki a felhasználókból azzal, hogy illegális tevékenység miatti rendőrségi eljárással riogatja őket. Mint a legtöbb banki trójai, a Citadel is képes arra, hogy valós időben módosítsa a böngészőben megnyitott weboldalt, így Man-in-the-Browser (MitB) támadást lehet indítani, a felhasználók pedig sokkal kevésbe tudják kiszűrni, hogy adathalász támadás áldozatává válnak, mivel a böngésző címsorában a valódi cím látszik.

A Google Play első születésnapján egy olyan botkit bukkant fel az Android-os alkalmazásokat terjesztő weboldalon, amely korábbi fejlesztők ellenőrzött felhasználói fiókjai segítségével terjed. Brian Krebs az ismert KrebsonSecurity blog szerzője mutatta be elsőként az esetet, miután egy underground weboldaon olyan felhasználóval futott össze, aki 100 dollárt fizetett az ellenőrzött Google Play fiókokért. Az illető a felvásárlás mellet egy Android SMS káros szoftver csomagot árul, amelynek segítségével tetszőleges bank ügyfelét célba lehet venni, mivel ellopja a két faktoros hitelesítésben használt, SMS-ben érkező, egyszer használatos kódot. A Perkele (finn szó, magyarul ördögöt jelent) egy számítógépes káros szoftverrel működik együtt, amely arra próbálja rávenni az áldozatot, hogy a telefonjára egy speciális biztonsági tanúsítványt telepítsen.

Jean-Ian Boutin az Eset vírusirtó cég kutatója egy olyan trójai káros szoftvert fedezett fel, amelyet érvényes digitális tanúsítvánnyal írtak alá. A banki felhasználói adatokra specializálódott trójai ezzel meg tudja kerülni felületes teszteket, mivel ártalmatlan programnak látszik. A jelek szerint a tanúsítványt a DigiCert Certificate Authority adta ki, egy olyan cég amely időközben megszűnt.

Új nap virrad, újabb média céget törtek fel. Most az NBC vált a hacker-ek áldozatává, és ezzel beállhat a The New York Times és a Wall Street Journal által megkezdett sorba. Több szakértő is megerősítette, hogy feltörték az NBC weboldalát, és ez utat nyitott a veszélyes Citadel banki trójainak. Az oldalon egy olyan iframe-et fedeztek fel, amely átirányította a látogatókat egy olyan oldalra, amelyen keresztül a RedKit Exploit Kit letöltötte a Citadel-t a gyanútlan felhasználók gépére. A HitmanPro blog szerint két olyan hivatkozás is volt az oldalon, amely a fertőzött weblapra vezetett. Az egyik a főoldalon volt, a másik egy belső lapon. A hivatkozások Java és PDF exploit-okra mutattak, amelyek telepítették a Citadel-t (a Java sérülékenység ugyanaz volt, amit a Java 7u11 verzióban javított az Oracle). Az oldal órákon keresztül volt fertőzött, és a támadók folyamatosan változtatták az iframe-et, és a hivatkozások is több fertőzött oldalra mutattak.

A Trusteer biztonsági cég jelentése szerint a banki trójai programok készítői úgy próbálják megnehezíteni a káros szoftver felfedezését, hogy visszatérnek a hagyományos, adathalász szerű felhasználói adatlopási technikákhoz. A legtöbb banki trójai manapság már képes arra, hogy valós időben avatkozzon be az áldozat által kezdeményezett, az online bank felé irányuló munkamenetbe (session). Ebbe bele tartozik az is, hogy képesek a háttérben tranzakciókat végrehajtani, majd pedig úgy módosítani a böngészőben megjelenített egyenleget és az előzményeket, hogy az áldozat ebből semmit nem vesz észre. Emiatt a bankok olyan biztonsági megoldásokat telepítenek a saját rendszerükbe, amely azt monitorozza, hogy milyen interakciókat hajtanak végre az ügyfelek, és olyan anomáliákat keresnek, amelyek káros szoftver tevékenységre utalnak. A jelek szerint a malware készítők visszatértek az olyan hagyományos módszerekhez, hogy ellopják a felhasználói adatokat, és azokat egy másik számítógépről használva kerülik el a lebukást. A Trusteer kutatói a Tinba és a Tilon banki trójai programok olyan verzióját fedezték fel, amely meggátolja az áldozatot, hogy hozzáférjen a bank weboldalához, és egy hamis bejelentkező oldalt jelenít meg a böngészőben, miközben a címsorban az eredeti oldal címe látszik.

A Shylock egy olyan káros szoftver, amely elsősorban az online bankolást használó magánszemélyeket veszélyezteti. A malware legújabb verziójába bekerült egy funkció, amely a Skype-ot is használni tudja saját maga terjesztésére. A Shakespeare Velencei kalmárja után elnevezett trójait 2011-ben fedezték fel. A feladata az online banki felhasználó nevek és jelszavak illetve más pénzügyi információk ellopása a fertőzött rendszerekről. A dániai székhelyű CSIS Security Group IT biztonsági cég kutatói a héten fedezték fel az "msg.gsm" bővítményt, amely lehetővé teszi a hamis üzenetek és fájlok küldését Skype-on keresztül, majd törli azokat az alkalmazás előzményeiből.

A High Roller akció mögött álló bűnözők új célpontokat találtak maguknak, és kiterjesztették az európai működésüket, valamint egy amerikai bankot is célba vettek. Az akkor még folyamatban lévő bűncselekményeket idén nyáron fedezték fel, és a nevét onnan kapta, hogy a kiberbűnözők kimondottan nagyobb vállalkozásokat és gazdag magánszemélyeket támadtak a Zeus és SpyEye malware-ek segítségével. A McAfee kutatói bemutatták a mostani akció részleteit, amely már az Európai Uniós tagországok között a banki átutalásokat végző Single Euro Payments Area (SEPA) rendszert vette célba. A legutóbbi célzott támadások főleg a német bankok ellen zajlottak.

A berlini rendőrség kiadott egy figyelmeztetést, miután számos banki ügyfél jelezte, hogy csalók pénzt emeltek le a számlájukról. Az összes áldozat Android-os okostelefont használt, amely a banki tranzakciók alkalmával az mTAN (mobile transaction authentication numbers) rendszert használja. Az F-Secure szakértői véleménye szerint az incidensekben leginkább a Zeus banki trójai mobil verziója a bűnös, amit ZeuS-in-the-Mobile vagy röviden Zitmo néven ismernek. A Zitmo egy olyan káros szoftver, amely önmagában haszontalan, és csak akkor veszélyes, ha kiegészítésképpen ott van a Windows operációs rendszert megfertőzött Zeus is. Ha a Zeus által fertőzött gépen valaki meglátogatja egy bank weboldalát, akkor a káros szoftver olyan kódot szúr be a böngészőbe, amely egy biztonsági figyelmeztetésnek mutatja magát, és bizalmas adatokat kér az áldozattól (például telefonszám, telefon típusa).

A Citadel néven ismertté vált banki trójai 2012 januárjában bukkant fel az underground fórumokon, azóta pedig a pénzintézetek legnagyobb fenyegetésévé nőtte ki magát. A Zeus trójai fejlett változata egy keylogger, amely az online banki felhasználói adatokat próbálja megszerezni, majd a programot irányító csalók ezek birtokában hozzáférnek az áldozatok bankszámláihoz. A feltételezések szerint kelet-európai bűnözők állnak a káros szoftver mögött. Komoly figyelmet akkor kapott a kártevő, amikor az FBI idén augusztus 17.-én kiadott egy jelentést a bankok és más pénzintézetek számára, amelyben felhívták a figyelmet a terjedőben lévő trójai programra. A legújabb Citadel variáns olyan trükköt alkalmaz, amelyet még sosem láttak ilyen típusú káros szoftvernél. Miközben az áldozat az online banki felületen dolgozik, a böngésző csaló felugró ablakokat jelenít meg, amely a felhasználói adatok megadására szólít fel.

Az RSA figyelmeztetése szerint kiberbűnözők nemzetközi csoportja egy óriási kibertámadást tervez, hogy legalább 30 ismert amerikai bank illetve azok ügyfelei online banki fiókjából pénzt lopjanak. A csütörtökön kiadott figyelmeztetés szerint a csoport egy alig ismert trójai programot akar elindítani, hogy azzal megfertőzzék a bankok ügyfeleit, majd azt felhasználva eltérítsék a fertőzött gépeket és hamis átutalásokat kezdeményezzenek róluk. Az RSA FraudAction csoportjának szóvivője szerint, ha a bűnözők sikerrel járnak, akkor ez lesz a legnagyobb bankok ellen vezetett szervezett, trójai támadás.