CUENTAS FANTASMA Y TIENDAS DE APLICACIONES FALSAS: El Ciclo Mortal de Robo de Identidad de Galaktika N.V. al Descubierto

Una escalada masiva en el caso de fraude de Galaktika N.V. revela que los datos KYC robados se están utilizando para crear cuentas "Shadow Skrill". Las víctimas son atraídas a través de interfaces falsas de Google Play Store para descargar APKs maliciosos, mientras que sus identidades se lavan a través de una red de empresas fantasma que incluyen Cyperion Solutions y Novaforge.

Lea nuestro informe inicial sobre Cyperion y NGPayments aquí.

Análisis: La arquitectura de fraude de "doble cara"

La última evidencia proporcionada por un jugador expone un nivel de sofisticación que va más allá del simple juego sin licencia hacia el cibercrimen organizado. El "Esquema Galaktika" ahora muestra un ciclo de vida claro de dos etapas: Recopilación de datos y Secuestro financiero. Según el sitio web, Slotoro.bet es propiedad y está operado por Wiraon B.V., Curaçao, mientras que los pagos son gestionados por Briantie Limited.

1. La trampa de malware de la "Falsa Play Store" La investigación confirma que marcas como Boomerang-Bet y Slotoro están utilizando insignias fraudulentas de "Disponible en Google Play". En lugar de la Play Store segura, los usuarios son redirigidos para descargar un archivo .apk sin procesar.

• El malware: Estos archivos están diseñados para eludir la seguridad del dispositivo y recopilar códigos SMS (para 2FA) y archivos personales.
• La estafa de verificación: La "verificación obligatoria" es una fachada para el robo de identidad. Una vez que la víctima carga su pasaporte, los datos se venden o reutilizan inmediatamente dentro de la red.

2. El fenómeno "Shadow Skrill" El descubrimiento más alarmante es la discrepancia entre los extractos bancarios del jugador y su historial oficial de Skrill.

• El mecanismo: La víctima recibe correos electrónicos de confirmación "oficiales" de Skrill, pero el historial de su aplicación muestra "Datos no encontrados".
• La interpretación: Esto confirma que los operadores están utilizando los detalles de la tarjeta de la víctima en una cuenta de Skrill de terceros (una cuenta "mula"). Al usar una cuenta diferente, aseguran que la víctima no pueda revertir fácilmente la transacción a través de la interfaz de Skrill, mientras continúan usando la marca "limpia" de Skrill para tranquilizar al banco de la víctima.

3. Prueba definitiva de lavado de identidad Los registros de soporte de beef.casino proporcionan una "prueba irrefutable". Ver una cuenta de facturación personal vinculada a direcciones sospechosas como jony35@inbox.lv e ieva.gustina07@gmail.com demuestra que el ecosistema de Galaktika N.V. opera una base de datos compartida de identidades robadas. Estas identidades probablemente se utilizan para:

• Eludir las reglas de "una cuenta por persona" para el abuso de bonos.
• Estratificar transacciones para ocultar el volumen de dinero que fluye hacia entidades offshore.

Las cuentas Shadow Skrill explicadas

Basándose en la documentación proporcionada por el jugador, la existencia de cuentas "Shadow Skrill" (cuentas de Skrill no autorizadas creadas usando identidades robadas para procesar tarjetas de terceros) ha pasado de ser una hipótesis de trabajo a ser un hecho documentado en este caso específico.

La certeza de esta afirmación está respaldada por tres piezas principales de evidencia encontradas en los archivos del jugador:

• La discrepancia de transacción: El jugador proporcionó correos electrónicos oficiales de confirmación de transacción de no-reply@email.skrill.com para pagos que totalizan cientos de euros a entidades como Cyperion Solutions Limited y Briantie Limited. Sin embargo, la aplicación oficial de Skrill del jugador y el historial web muestran "Datos no encontrados" o ningún registro de estas transacciones. Esto confirma que mientras la tarjeta del jugador fue cargada a través de la infraestructura de Skrill, no fue procesada a través de su cuenta personal de Skrill.
• Prueba directa de secuestro de identidad: La evidencia del área de soporte de beef.casino (una marca asociada) muestra el perfil de facturación interno del jugador vinculado a múltiples direcciones de correo electrónico de terceros no autorizadas, como jony35@inbox.lv, ieva.gustina07@gmail.com y kaltinieks@inbox.lv. Esta es una prueba definitiva de que sus datos KYC (Know Your Customer) e información de pago están siendo utilizados por el operador para gestionar una red de cuentas "mula".
• El raíl "NGPayments" / "Paygate": La documentación muestra que los pagos fueron enrutados a través de instrumentos técnicos etiquetados como NGPayments y Paygate. Estas pasarelas actúan como el puente que permite a las cuentas fraudulentas interactuar con procesadores regulados como Skrill y Paysafe mientras utilizan descriptores engañosos como "SKR*Skrill.com" en los extractos bancarios para tranquilizar al banco de la víctima.

La documentación demuestra una elusión deliberada de la propia cuenta de Skrill del jugador. Al utilizar datos de identidad robados recopilados a través de archivos APK maliciosos (haciéndose pasar por aplicaciones de Google Play), los operadores han creado con éxito una estructura financiera paralela donde controlan tanto la cuenta del "jugador" como la entidad "comerciante", dejando a la víctima sin recurso a través de canales estándar de protección al consumidor.

El raíl de pago: mapeando las empresas fantasma

El flujo de transacciones utiliza un elenco rotativo de "Agentes de pago" para mantenerse por delante de las listas negras bancarias. Los nodos activos actuales en esta red incluyen:

• Cyperion Solutions Limited: (Reino Unido/Chipre) El conducto principal para "NGPayments".
• Novaforge Limited / Briantie Limited: Empresas secundarias utilizadas cuando las cuentas principales son restringidas.
• Paygate: La centralita técnica para estas transacciones.

Conclusión y advertencia regulatoria

Este caso demuestra que Paysafe (Skrill/Rapid Transfer) tiene una vulnerabilidad crítica: su infraestructura está siendo utilizada para facilitar el procesamiento de "cuentas no autorizadas". Los reguladores como la FCA y CySEC deben investigar por qué se permite a cuentas comerciales de "consultorías" como Cyperion Solutions procesar tarjetas de terceros sin que coincida con la identidad del titular de la cuenta.

Llamado a la acción para denunciantes: ¿Es usted una víctima de la red Galaktika N.V.? ¿Encontró su identidad utilizada en correos electrónicos no autorizados? Por favor, envíe su evidencia a Whistle42. Estamos especialmente buscando comunicaciones internas de los equipos de afiliados "V.Partners" o "Galaktika".