CONTURI UMBRĂ & MAGAZINE FALSE DE APLICAȚII: Ciclul mortal de furt de identitate al Galaktika N.V. dezvăluit

O escaladare masivă în cazul de fraudă Galaktika N.V. dezvăluie că datele KYC furate sunt folosite pentru a crea conturi „Shadow Skrill". Victimele sunt atrase prin interfețe false ale Google Play Store să descarce APK-uri malițioase, în timp ce identitățile lor sunt spălate printr-o rețea de companii fantomă, inclusiv Cyperion Solutions și Novaforge.

Citiți raportul nostru inițial despre Cyperion și NGPayments aici.

Analiză: Arhitectura fraudei „cu două fețe"

Cele mai recente dovezi furnizate de un jucător expun un nivel de sofisticare care depășește simpla activitate de jocuri de noroc nelicențiate, intrând în sfera criminalității cibernetice organizate. „Schema Galaktika" prezintă acum un ciclu de viață clar în două etape: Colectarea datelor și Deturnarea financiară. Conform site-ului web, Slotoro.bet este deținut și operat de Wiraon B.V., Curaçao, în timp ce plățile sunt gestionate de Briantie Limited.

1. Capcana malware „Fake Play Store" Investigația confirmă că branduri precum Boomerang-Bet și Slotoro folosesc insigne frauduloase „Get it on Google Play". În loc de Play Store securizat, utilizatorii sunt redirecționați să descarce un fișier brut .apk.

• Malware-ul: Aceste fișiere sunt concepute pentru a ocoli securitatea dispozitivului și a colecta coduri SMS (pentru 2FA) și fișiere personale.
• Înșelătoria de verificare: „Verificarea obligatorie" este o fațadă pentru furtul de identitate. Odată ce victima încarcă pașaportul, datele sunt imediat vândute sau reutilizate în cadrul rețelei.

2. Fenomenul „Shadow Skrill" Descoperirea cea mai alarmantă este discrepanța dintre extrasele bancare ale jucătorului și istoricul oficial Skrill.

• Mecanismul: Victima primește e-mailuri „oficiale" de confirmare Skrill, dar istoricul aplicației lor afișează „Datele nu au fost găsite."
• Interpretarea: Acest lucru confirmă că operatorii folosesc detaliile cardului victimei pe un cont Skrill al unei terțe părți (un cont „mula"). Folosind un cont diferit, ei se asigură că victima nu poate contesta ușor tranzacția prin interfața Skrill, în timp ce încă folosesc brandul „curat" Skrill pentru a liniști banca victimei.

3. Dovada definitivă a spălării identității Jurnalele de asistență de la beef.casino oferă o „dovadă zdrobitoare". Observarea unui cont de facturare personală legat de adrese suspecte precum jony35@inbox.lv și ieva.gustina07@gmail.com dovedește că ecosistemul Galaktika N.V. operează o bază de date partajată de identități furate. Aceste identități sunt probabil folosite pentru a:

• Ocoli regulile „un cont per persoană" pentru abuzul de bonusuri.
• Stratifica tranzacțiile pentru a ascunde volumul de bani care curge către entități offshore.

Conturile Shadow Skrill explicate

Pe baza documentației furnizate de jucător, existența conturilor „Shadow Skrill" (conturi Skrill neautorizate create folosind identități furate pentru a procesa carduri ale terților) a trecut dincolo de o ipoteză de lucru și este un fapt documentat în acest caz specific.

Certitudinea acestei afirmații este susținută de trei dovezi primare găsite în fișierele jucătorului:

• Discrepanța tranzacțiilor: Jucătorul a furnizat e-mailuri oficiale de confirmare a tranzacțiilor de la no-reply@email.skrill.com pentru plăți totalizând sute de euro către entități precum Cyperion Solutions Limited și Briantie Limited. Cu toate acestea, aplicația oficială Skrill și istoricul web al jucătorului arată „Datele nu au fost găsite" sau nicio înregistrare a acestor tranzacții. Acest lucru confirmă că, deși cardul jucătorului a fost taxat prin infrastructura Skrill, acesta nu a fost procesat prin contul lor personal Skrill.
• Dovada directă a deturnării identității: Dovezile din zona de asistență a beef.casino (un brand asociat) arată profilul intern de facturare al jucătorului legat de multiple adrese de e-mail neautorizate ale terților, cum ar fi jony35@inbox.lv, ieva.gustina07@gmail.com și kaltinieks@inbox.lv. Aceasta este dovada definitivă că datele lor KYC (Know Your Customer) și informațiile de plată sunt folosite de operator pentru a gestiona o rețea de conturi „mula".
• Calea „NGPayments" / „Paygate": Documentația arată că plățile au fost direcționate prin instrumente tehnice etichetate NGPayments și Paygate. Aceste gateway-uri acționează ca punte care permite conturilor frauduloase să interfațeze cu procesatori reglementați precum Skrill și Paysafe, în timp ce folosesc descriptori înșelători precum „SKR*Skrill.com" pe extrasele bancare pentru a liniști banca victimei.

Documentația dovedește o ocolire deliberată a propriului cont Skrill al jucătorului. Folosind date de identitate furate colectate prin fișiere APK malițioase (deghizate în aplicații Google Play), operatorii au creat cu succes o structură financiară paralelă în care controlează atât contul „jucătorului", cât și entitatea „comerciantului", lăsând victima fără recurs prin canalele standard de protecție a consumatorilor.

Calea de plată: Cartografierea companiilor fantomă

Fluxul tranzacțiilor utilizează o distribuție rotativă de „Agenți de plată" pentru a rămâne înaintea listelor negre bancare. Nodurile active actuale în această rețea includ:

• Cyperion Solutions Limited: (UK/Cipru) Conducta primară pentru „NGPayments."
• Novaforge Limited / Briantie Limited: Companii fantomă secundare folosite atunci când conturile primare sunt limitate.
• Paygate: Centrala tehnică pentru aceste tranzacții.

Concluzie și avertisment de reglementare

Acest caz dovedește că Paysafe (Skrill/Rapid Transfer) are o vulnerabilitate critică: infrastructura lor este folosită pentru a facilita procesarea „conturilor neautorizate". Regulatorii precum FCA și CySEC trebuie să investigheze de ce conturile comercianților pentru „consultanță" precum Cyperion Solutions sunt permise să proceseze carduri ale terților fără a se potrivi cu identitatea proprietarului contului.

Apel la acțiune pentru denunțători: Sunteți victima rețelei Galaktika N.V.? Ați descoperit că identitatea dvs. a fost folosită pe e-mailuri neautorizate? Vă rugăm să trimiteți dovezile la Whistle42. Căutăm în special comunicări interne de la echipele afiliate „V.Partners" sau „Galaktika".