Het platform heet Citadel en is gebaseerd op de broncode van Zeus. Sinds het eerste botnet van Citadel is gesignaleerd, op 17 december vorig jaar, zijn er nu al minstens 20 bij gekomen. De botnets tellen gezamenlijk meer dan 100.000 pc's.

Forum met sociale netwerkfunctie

Het open source platform heeft een ingebouwde berichtenforum met een sociale netwerkfunctie. Daarin is de maker van het platform aan te spreken. Met de maker van het platform kan worden gesproken over verbeteringen aan de software en kunnen bugmeldingen worden gedaan. Nieuwe functievoorstellen worden gepost om over gestemd te worden, de meerderheid van de stemmen is nodig om verder ontwikkeld te worden.

Vervolgens kunnen ontwikkelaars strijden om de uitwerking van die nieuwe ideeën door hun prijs te posten. Ook kunnen suggesties worden gedaan om de nieuwe functies verder uit te breiden of er een hele module van te maken. Deelnemers maken onderling ook afspraken over samenwerking. Dat maakt het gehele platform meer dan alleen een Software-as-a-Service model.

Het platform komt met een gebruikershandleiding en een licentieovereenkomst, beide in het Russisch. Iedereen kan de software aankopen. De eerste aanschaf is 2399 dollar, gevolgd door een maandelijks bedrag van 125 dollar. Daar krijg je het hele pakket voor, met ondersteuning via de forums.

Snel groeiende community

Volgens het beveiligingsbedrijf Seculert is het door al die samenwerking in ontwikkeling van de software en in het gebruik van de software, inmiddels een van de snelst groeiende blackhat-communities.

Citadel lijkt vooral gericht op het stelen van bankinformatie maar heeft de capabiliteit om allerlei vormen van data te stelen. De trojan kan ingezet worden als monitor voor toetsaanslagen, kan rondsnuffelen naar documenten en ook vastleggen wat er op het beeldscherm gebeurt en de video naar de command & control-server sturen.

Vijf verschillende versies

De community is voortvarend met de open source code aan de slag gegaan. Volgens Seculert gebruiken de 20 tot nu gevonden botnets nu al vijf verschillende versies van Citadel. Elke versie heeft nieuwe modules die de andere niet hebben. Sommige van die modules zijn door de kopers zelf ontwikkeld, andere door de community.

Het platform is sinds zijn eerste ontdekking in december al verrijkt met AES-versleuteling voor configuratiebestanden, een mogelijkheid om antiviruswebsites te blokkeren op geïnfecteerde computers en het blokken van geautomatiseerde botnetscanners. Volgens Seculert kan het succes van dit platform andere internetcriminelen naar open source lokken. “Deze ontwikkeling kan het begin van een nieuwe trend zijn in de malware-evolutie."