ТЕНЕВЫЕ АККАУНТЫ И ПОДДЕЛЬНЫЕ МАГАЗИНЫ ПРИЛОЖЕНИЙ: Раскрыт смертельный цикл кражи личных данных компании Galaktika N.V.

Массовая эскалация в деле о мошенничестве Galaktika N.V. раскрывает, что украденные данные KYC используются для создания "теневых счетов Skrill". Жертвы заманиваются через поддельные интерфейсы Google Play Store для загрузки вредоносных APK, в то время как их личности отмываются через сеть подставных компаний, включая Cyperion Solutions и Novaforge.

Прочитайте наш первоначальный отчет о Cyperion и NGPayments здесь.

Анализ: архитектура "двусторонней" схемы мошенничества

Последние доказательства, предоставленные игроком, раскрывают уровень изощренности, который выходит за рамки простых нелицензированных азартных игр в организованную киберпреступность. "Схема Galaktika" теперь демонстрирует четкий двухэтапный жизненный цикл: Сбор данных и Финансовый захват. Согласно веб-сайту, Slotoro.bet принадлежит и управляется Wiraon B.V., Кюрасао, в то время как платежи обрабатываются Briantie Limited.

1. Ловушка вредоносного ПО "Поддельный Play Store" Расследование подтверждает, что такие бренды, как Boomerang-Bet и Slotoro, используют мошеннические значки "Доступно в Google Play". Вместо безопасного Play Store пользователей перенаправляют на загрузку файла .apk.

• Вредоносное ПО: Эти файлы предназначены для обхода безопасности устройства для сбора SMS-кодов (для 2FA) и личных файлов.
• Схема верификации: "Обязательная верификация" является прикрытием для кражи личных данных. Как только жертва загружает свой паспорт, данные немедленно продаются или используются повторно внутри сети.

2. Феномен "Теневого Skrill" Наиболее тревожным открытием является несоответствие между банковскими выписками игрока и его официальной историей Skrill.

• Механизм: Жертва получает "официальные" электронные письма с подтверждением от Skrill, но история приложения показывает "Данные не найдены".
• Интерпретация: Это подтверждает, что операторы используют данные карты жертвы на счете Skrill третьей стороны (счёт "мула"). Используя другой счёт, они гарантируют, что жертва не сможет легко отменить транзакцию через интерфейс Skrill, при этом продолжая использовать "чистый" брендинг Skrill для успокоения банка жертвы.

3. Окончательное доказательство отмывания личных данных Журналы поддержки от beef.casino предоставляют "неопровержимое доказательство". Обнаружение личного биллингового счета, связанного с подозрительными адресами, такими как jony35@inbox.lv и ieva.gustina07@gmail.com, доказывает, что экосистема Galaktika N.V. использует общую базу данных украденных личных данных. Эти личные данные, вероятно, используются для:

• Обхода правил "один счёт на человека" для злоупотребления бонусами.
• Наслоения транзакций для сокрытия объема денег, поступающих в оффшорные организации.

Объяснение теневых счетов Skrill

Основываясь на документации, предоставленной игроком, существование "теневых счетов Skrill" (несанкционированных счетов Skrill, созданных с использованием украденных личных данных для обработки карт третьих лиц) вышло за рамки рабочей гипотезы и является документально подтвержденным фактом в этом конкретном случае.

Достоверность этого утверждения подтверждается тремя основными доказательствами, обнаруженными в файлах игрока:

• Несоответствие транзакций: Игрок предоставил официальные электронные письма с подтверждением транзакций от no-reply@email.skrill.com на платежи на общую сумму в сотни евро таким организациям, как Cyperion Solutions Limited и Briantie Limited. Однако официальное приложение Skrill и веб-история игрока показывают "Данные не найдены" или отсутствие записи об этих транзакциях. Это подтверждает, что, хотя карта игрока была списана через инфраструктуру Skrill, она не была обработана через его личный счёт Skrill.
• Прямое доказательство захвата личных данных: Доказательства из области поддержки beef.casino (связанный бренд) показывают внутренний биллинговый профиль игрока, связанный с несколькими несанкционированными адресами электронной почты третьих лиц, такими как jony35@inbox.lv, ieva.gustina07@gmail.com и kaltinieks@inbox.lv. Это окончательное доказательство того, что их данные KYC (Подтверждение личности) и платежная информация используются оператором для управления сетью счетов "мулов".
• Рельс "NGPayments" / "Paygate": Документация показывает, что платежи маршрутизировались через технические инструменты с маркировкой NGPayments и Paygate. Эти шлюзы действуют как мост, который позволяет мошенническим счетам взаимодействовать с регулируемыми процессорами, такими как Skrill и Paysafe, при этом используя вводящие в заблуждение дескрипторы, такие как "SKR*Skrill.com" в банковских выписках, чтобы успокоить банк жертвы.

Документация доказывает намеренный обход собственного счета Skrill игрока. Используя украденные данные личности, собранные через вредоносные APK-файлы (маскирующиеся под приложения Google Play), операторы успешно создали параллельную финансовую структуру, в которой они контролируют как счёт "игрока", так и "торговца", не оставляя жертве возможности обращения через стандартные каналы защиты прав потребителей.

Платежный рельс: картирование подставных компаний

Поток транзакций использует ротацию "Платежных агентов", чтобы опережать банковские чёрные списки. Текущие активные узлы в этой сети включают:

• Cyperion Solutions Limited: (Великобритания/Кипр) Основной канал для "NGPayments".
• Novaforge Limited / Briantie Limited: Вторичные подставные компании, используемые, когда основные счета ограничиваются.
• Paygate: Техническая коммутационная панель для этих транзакций.

Заключение и регуляторное предупреждение

Этот случай доказывает, что Paysafe (Skrill/Rapid Transfer) имеет критическую уязвимость: их инфраструктура используется для облегчения обработки "несанкционированных счетов". Регуляторы, такие как FCA и CySEC, должны расследовать, почему торговым счетам "консалтинговых компаний", таким как Cyperion Solutions, разрешается обрабатывать карты третьих лиц без соответствия личности владельца счёта.

Призыв к действию для информаторов: Вы жертва сети Galaktika N.V.? Вы обнаружили, что ваша личность используется в несанкционированных электронных письмах? Пожалуйста, отправьте свои доказательства в Whistle42. Мы особенно ищем внутренние коммуникации от партнёрских команд "V.Partners" или "Galaktika".