ACCOUNT OMBRA E PLAY STORE FALSI: Il Ciclo Mortale di Furto d'Identità di Galaktika N.V. Svelato

Un'escalation massiccia nel caso di frode della Galaktika N.V. rivela che i dati KYC rubati vengono utilizzati per creare account "Shadow Skrill". Le vittime vengono attirate tramite interfacce false del Google Play Store a scaricare APK malevoli, mentre le loro identità vengono riciclate attraverso una rete di società fittizie tra cui Cyperion Solutions e Novaforge.

Leggi il nostro rapporto iniziale su Cyperion e NGPayments qui.

Analisi: l'architettura della frode "a doppia faccia"

Le ultime prove fornite da un giocatore espongono un livello di sofisticazione che va oltre il semplice gioco d'azzardo senza licenza trasformandosi in criminalità informatica organizzata. Lo "Schema Galaktika" mostra ora un chiaro ciclo di vita in due fasi: Raccolta dati e Dirottamento finanziario. Secondo il sito web Slotoro.bet è di proprietà e gestito da Wiraon B.V., Curaçao, mentre i pagamenti sono gestiti da Briantie Limited.

1. La trappola del malware "Fake Play Store" L'indagine conferma che brand come Boomerang-Bet e Slotoro stanno utilizzando badge fraudolenti "Disponibile su Google Play". Invece del Play Store sicuro, gli utenti vengono reindirizzati a scaricare un file .apk grezzo.

• Il malware: questi file sono progettati per aggirare la sicurezza del dispositivo per raccogliere codici SMS (per 2FA) e file personali.
• La truffa della verifica: la "verifica obbligatoria" è una copertura per il furto d'identità. Una volta che la vittima carica il proprio passaporto, i dati vengono immediatamente venduti o riutilizzati all'interno della rete.

2. Il fenomeno "Shadow Skrill" La scoperta più allarmante è la discrepanza tra gli estratti conto bancari del giocatore e la sua cronologia Skrill ufficiale.

• Il meccanismo: la vittima riceve email di conferma Skrill "ufficiali", ma la cronologia della sua app mostra "Dati non trovati".
• L'interpretazione: questo conferma che gli operatori stanno utilizzando i dettagli della carta della vittima su un account Skrill di terze parti (un account "mulo"). Utilizzando un account diverso, garantiscono che la vittima non possa facilmente annullare la transazione tramite l'interfaccia Skrill, pur continuando a utilizzare il marchio "pulito" di Skrill per placare la banca della vittima.

3. Prova definitiva del riciclaggio d'identità I log di supporto da beef.casino forniscono una "pistola fumante". Vedere un conto di fatturazione personale collegato a indirizzi sospetti come [email protected] e [email protected] dimostra che l'ecosistema Galaktika N.V. gestisce un database condiviso di identità rubate. Queste identità sono probabilmente utilizzate per:

• Aggirare le regole "un account per persona" per l'abuso di bonus.
• Stratificare le transazioni per nascondere il volume di denaro che affluisce a entità offshore.

Gli account Shadow Skrill spiegati

Sulla base della documentazione fornita dal giocatore, l'esistenza di account "Shadow Skrill" (account Skrill non autorizzati creati utilizzando identità rubate per elaborare carte di terze parti) è andata oltre un'ipotesi di lavoro ed è un fatto documentato in questo caso specifico.

La certezza di questa affermazione è supportata da tre prove principali trovate nei file del giocatore:

• La discrepanza della transazione: il giocatore ha fornito email ufficiali di conferma della transazione da [email protected] per pagamenti per un totale di centinaia di euro a entità come Cyperion Solutions Limited e Briantie Limited. Tuttavia, l'app Skrill ufficiale del giocatore e la cronologia web mostrano "Dati non trovati" o nessuna registrazione di queste transazioni. Questo conferma che mentre la carta del giocatore è stata addebitata tramite l'infrastruttura di Skrill, non è stata elaborata attraverso il suo account Skrill personale.
• Prova diretta di dirottamento d'identità: le prove dall'area di supporto di beef.casino (un marchio associato) mostrano il profilo di fatturazione interno del giocatore collegato a più indirizzi email di terze parti non autorizzati, come [email protected], [email protected] e [email protected]. Questa è la prova definitiva che i loro dati KYC (Know Your Customer) e le informazioni di pagamento vengono utilizzati dall'operatore per gestire una rete di account "mulo".
• Il binario "NGPayments" / "Paygate": la documentazione mostra che i pagamenti sono stati instradati attraverso strumenti tecnici etichettati NGPayments e Paygate. Questi gateway fungono da ponte che consente agli account fraudolenti di interfacciarsi con processori regolamentati come Skrill e Paysafe utilizzando descrittori fuorvianti come "SKR*Skrill.com" sugli estratti conto bancari per placare la banca della vittima.

La documentazione dimostra un deliberato bypass dell'account Skrill personale del giocatore. Utilizzando dati d'identità rubati raccolti tramite file APK malevoli (mascherati da app di Google Play), gli operatori hanno creato con successo una struttura finanziaria parallela in cui controllano sia l'account "giocatore" che l'entità "commerciante", lasciando la vittima senza ricorso attraverso i canali standard di protezione dei consumatori.

Il binario di pagamento: mappatura delle società fittizie

Il flusso di transazioni utilizza un cast rotante di "Agenti di pagamento" per stare davanti alle liste nere bancarie. I nodi attivi attuali in questa rete includono:

• Cyperion Solutions Limited: (UK/Cipro) Il condotto principale per "NGPayments".
• Novaforge Limited / Briantie Limited: società fittizie secondarie utilizzate quando gli account primari vengono limitati.
• Paygate: il centralino tecnico per queste transazioni.

Conclusione e avviso normativo

Questo caso dimostra che Paysafe (Skrill/Rapid Transfer) ha una vulnerabilità critica: la loro infrastruttura viene utilizzata per facilitare l'elaborazione di "account non autorizzati". I regolatori come la FCA e CySEC devono indagare sul motivo per cui gli account commerciante per "consulenze" come Cyperion Solutions sono autorizzati a elaborare carte di terze parti senza corrispondere all'identità del proprietario dell'account.

Appello all'azione per informatori: Sei una vittima della rete Galaktika N.V.? Hai trovato la tua identità utilizzata su email non autorizzate? Invia le tue prove a Whistle42. Stiamo cercando in particolare comunicazioni interne dai team di affiliazione "V.Partners" o "Galaktika".