حساب‌های سایه و فروشگاه‌های جعلی Play: چرخه مرگبار سرقت هویت Galaktika N.V. فاش شد

تشدید گسترده در پرونده کلاهبرداری Galaktika N.V. نشان می‌دهد که از داده‌های دزدیده شده احراز هویت KYC برای ایجاد حساب‌های "Shadow Skrill" استفاده می‌شود. قربانیان از طریق رابط‌های جعلی فروشگاه Google Play فریب داده می‌شوند تا فایل‌های APK مخرب را دانلود کنند، در حالی که هویت آنها از طریق شبکه‌ای از شرکت‌های پوششی از جمله Cyperion Solutions و Novaforge پولشویی می‌شود.

گزارش اولیه ما درباره Cyperion و NGPayments را اینجا بخوانید.

تحلیل: معماری کلاهبرداری "دو طرفه"

آخرین شواهد ارائه شده توسط یک بازیکن سطحی از پیچیدگی را آشکار می‌کند که فراتر از قمار ساده بدون مجوز به جرایم سایبری سازمان یافته حرکت می‌کند. "طرح Galaktika" اکنون یک چرخه حیات دو مرحله‌ای واضح را نشان می‌دهد: برداشت داده و ربودن مالی. طبق وب‌سایت، Slotoro.bet متعلق به Wiraon B.V.، کوراسائو است و توسط آن اداره می‌شود، در حالی که پرداخت‌ها توسط Briantie Limited مدیریت می‌شوند.

1. تله بدافزار "فروشگاه Play جعلی" تحقیقات تأیید می‌کند که برندهایی مانند Boomerang-Bet و Slotoro از نشان‌های جعلی "Get it on Google Play" استفاده می‌کنند. به جای فروشگاه Play امن، کاربران برای دانلود یک فایل .apk خام هدایت می‌شوند.

• بدافزار: این فایل‌ها طراحی شده‌اند تا امنیت دستگاه را دور بزنند و کدهای پیامکی (برای احراز هویت دو عاملی صرافی ها (2FA)) و فایل‌های شخصی را جمع‌آوری کنند.
• کلاهبرداری تایید: "تایید اجباری" پوششی برای سرقت هویت است. به محض اینکه قربانی پاسپورت خود را آپلود کند، داده‌ها فوراً فروخته یا در شبکه مجدداً استفاده می‌شوند.

2. پدیده "Shadow Skrill" نگران‌کننده‌ترین کشف، تناقض بین صورت‌حساب بانکی بازیکن و سابقه رسمی Skrill آنهاست.

• مکانیسم: قربانی ایمیل‌های تأیید "رسمی" Skrill را دریافت می‌کند، اما سابقه اپلیکیشن آنها "Data not found" را نشان می‌دهد.
• تفسیر: این تأیید می‌کند که اپراتورها از جزئیات کارت قربانی در یک حساب Skrill شخص ثالث (یک حساب "واسطه") استفاده می‌کنند. با استفاده از حساب متفاوت، آنها اطمینان می‌یابند که قربانی نمی‌تواند به راحتی از طریق رابط Skrill تراکنش را برگرداند، در حالی که همچنان از برند "تمیز" Skrill برای آرام کردن بانک قربانی استفاده می‌کنند.

3. شواهد قطعی پولشویی هویت گزارش‌های پشتیبانی از beef.casino یک "دلیل قاطع" ارائه می‌دهند. مشاهده حساب صورتحساب شخصی مرتبط با آدرس‌های مشکوک مانند jony35@inbox.lv و ieva.gustina07@gmail.com ثابت می‌کند که اکوسیستم Galaktika N.V. یک پایگاه داده مشترک از هویت‌های دزدیده شده را اداره می‌کند. این هویت‌ها احتمالاً برای موارد زیر استفاده می‌شوند:

• دور زدن قوانین "یک حساب برای هر شخص" برای سوءاستفاده از پاداش.
• لایه‌بندی تراکنش‌ها برای پنهان کردن حجم پولی که به نهادهای فراساحلی جریان می‌یابد.

حساب‌های Shadow Skrill توضیح داده شد

بر اساس اسناد ارائه شده توسط بازیکن، وجود حساب‌های "Shadow Skrill" (حساب‌های غیرمجاز Skrill ایجاد شده با استفاده از هویت‌های دزدیده شده برای پردازش کارت‌های شخص ثالث) فراتر از یک فرضیه کاری رفته و یک واقعیت مستند در این مورد خاص است.

قطعیت این ادعا توسط سه قطعه اصلی شواهد یافت شده در فایل‌های بازیکن پشتیبانی می‌شود:

• تناقض تراکنش: بازیکن ایمیل‌های تأیید تراکنش رسمی از no-reply@email.skrill.com برای پرداخت‌های به مجموع صدها یورو به نهادهایی مانند Cyperion Solutions Limited و Briantie Limited ارائه داد. با این حال، اپلیکیشن و سابقه وب رسمی Skrill بازیکن "Data not found" یا هیچ سابقه‌ای از این تراکنش‌ها را نشان نمی‌دهد. این تأیید می‌کند که در حالی که کارت بازیکن از طریق زیرساخت Skrill شارژ شده است، از طریق حساب شخصی Skrill آنها پردازش نشده است.
• شواهد مستقیم ربودن هویت: شواهد از بخش پشتیبانی beef.casino (یک برند وابسته) نشان می‌دهد که پروفایل داخلی صورتحساب بازیکن به چندین آدرس ایمیل غیرمجاز شخص ثالث مرتبط است، مانند jony35@inbox.lv، ieva.gustina07@gmail.com و kaltinieks@inbox.lv. این شواهد قطعی است که داده‌های احراز هویت KYC (مشتری خودت را بشناس) و اطلاعات پرداخت آنها توسط اپراتور برای مدیریت شبکه‌ای از حساب‌های "واسطه" استفاده می‌شود.
• مسیر "NGPayments" / "Paygate": اسناد نشان می‌دهند که پرداخت‌ها از طریق ابزارهای فنی با برچسب NGPayments و Paygate هدایت شده‌اند. این دروازه‌ها به عنوان پلی عمل می‌کنند که به حساب‌های متقلبانه اجازه می‌دهد با پردازنده‌های تنظیم شده مانند Skrill و Paysafe ارتباط برقرار کنند، در حالی که از توصیفگرهای گمراه‌کننده مانند "SKR*Skrill.com" در صورت‌حساب‌های بانکی برای آرام کردن بانک قربانی استفاده می‌کنند.

اسناد ثابت می‌کنند که دور زدن عمدی حساب خود بازیکن در Skrill رخ داده است. با استفاده از داده‌های هویتی دزدیده شده جمع‌آوری شده از طریق فایل‌های APK مخرب (که خود را اپلیکیشن‌های Google Play جا می‌زنند)، اپراتورها با موفقیت ساختار مالی موازی ایجاد کرده‌اند که در آن هم حساب "بازیکن" و هم نهاد "بازرگان" را کنترل می‌کنند و قربانی را بدون راه حلی از طریق کانال‌های استاندارد حمایت از مصرف‌کننده رها می‌کنند.

مسیر پرداخت: نقشه‌برداری از پوسته‌ها

جریان تراکنش از مجموعه‌ای چرخشی از "عوامل پرداخت" برای پیشی گرفتن از لیست سیاه بانک‌ها استفاده می‌کند. گره‌های فعال فعلی در این شبکه عبارتند از:

• Cyperion Solutions Limited: (انگلستان/قبرس) کانال اصلی برای "NGPayments".
• Novaforge Limited / Briantie Limited: پوسته‌های ثانویه که زمانی استفاده می‌شوند که حساب‌های اصلی محدود شده‌اند.
• Paygate: تابلوی فنی برای این تراکنش‌ها.

نتیجه‌گیری و هشدار نظارتی

این مورد ثابت می‌کند که Paysafe (Skrill/Rapid Transfer) آسیب‌پذیری حیاتی دارد: زیرساخت آنها برای تسهیل پردازش "حساب غیرمجاز" استفاده می‌شود. تنظیم‌کننده‌هایی مانند FCA و CySEC باید تحقیق کنند که چرا حساب‌های بازرگانان برای "مشاوره‌ها" مانند Cyperion Solutions مجاز به پردازش کارت‌های شخص ثالث بدون تطبیق با هویت صاحب حساب هستند.

فراخوان اقدام افشاگر: آیا شما قربانی شبکه Galaktika N.V. هستید؟ آیا متوجه شدید که هویت شما در ایمیل‌های غیرمجاز استفاده شده است؟ لطفاً شواهد خود را به Whistle42 ارسال کنید. ما به ویژه به دنبال ارتباطات داخلی از تیم‌های وابسته "V.Partners" یا "Galaktika" هستیم.