CONTAS SOMBRA & LOJAS DE APLICAÇÕES FALSAS: O Ciclo Mortal de Roubo de Identidade da Galaktika N.V. Revelado

Uma enorme escalada no caso de fraude da Galaktika N.V. revela que dados KYC roubados estão a ser utilizados para criar contas "Shadow Skrill". As vítimas são atraídas através de interfaces falsas da Google Play Store para descarregar APKs maliciosos, enquanto as suas identidades são lavadas através de uma rede de empresas de fachada, incluindo a Cyperion Solutions e a Novaforge.

Leia o nosso relatório inicial sobre a Cyperion e NGPayments aqui.

Análise: A Arquitetura de Fraude "Dupla Face"

As últimas provas fornecidas por um jogador expõem um nível de sofisticação que vai além do simples jogo ilegal, entrando no cibercrime organizado. O "Esquema Galaktika" apresenta agora um ciclo de vida claro de duas fases: Recolha de Dados e Sequestro Financeiro. De acordo com o website, Slotoro.bet é propriedade e operado pela Wiraon B.V., Curaçao, enquanto os pagamentos são geridos pela Briantie Limited.

1. A Armadilha de Malware da "Play Store Falsa" A investigação confirma que marcas como Boomerang-Bet e Slotoro estão a utilizar distintivos fraudulentos "Disponível no Google Play". Em vez da Play Store segura, os utilizadores são redirecionados para descarregar um ficheiro .apk bruto.

• O Malware: Estes ficheiros são concebidos para contornar a segurança do dispositivo para recolher códigos SMS (para 2FA) e ficheiros pessoais.
• O Golpe de Verificação: A "verificação obrigatória" é uma fachada para roubo de identidade. Assim que a vítima carrega o seu passaporte, os dados são imediatamente vendidos ou reutilizados dentro da rede.

2. O Fenómeno "Shadow Skrill" A descoberta mais alarmante é a discrepância entre os extratos bancários do jogador e o seu histórico oficial da Skrill.

• O Mecanismo: A vítima recebe e-mails de confirmação "oficiais" da Skrill, mas o histórico da sua aplicação mostra "Data not found."
• A Interpretação: Isto confirma que os operadores estão a utilizar os dados do cartão da vítima numa conta Skrill de terceiros (uma conta "mula"). Ao utilizar uma conta diferente, garantem que a vítima não pode facilmente contestar a transação através da interface da Skrill, enquanto ainda utilizam a marca "limpa" da Skrill para tranquilizar o banco da vítima.

3. Prova Definitiva de Lavagem de Identidade Os registos de suporte do beef.casino fornecem uma "prova evidente". Ver uma conta de faturação pessoal ligada a endereços suspeitos como jony35@inbox.lv e ieva.gustina07@gmail.com prova que o ecossistema da Galaktika N.V. opera uma base de dados partilhada de identidades roubadas. Estas identidades são provavelmente utilizadas para:

• Contornar as regras de "uma conta por pessoa" para abuso de bónus.
• Camadas de transações para ocultar o volume de dinheiro que flui para entidades offshore.

As Contas Shadow Skrill Explicadas

Com base na documentação fornecida pelo jogador, a existência de contas "Shadow Skrill" (contas Skrill não autorizadas criadas utilizando identidades roubadas para processar cartões de terceiros) passou de uma hipótese de trabalho para um facto documentado neste caso específico.

A certeza desta afirmação é sustentada por três provas primárias encontradas nos ficheiros do jogador:

• A Discrepância de Transação: O jogador forneceu e-mails oficiais de confirmação de transação de no-reply@email.skrill.com para pagamentos que totalizam centenas de euros a entidades como Cyperion Solutions Limited e Briantie Limited. No entanto, a aplicação oficial da Skrill e o histórico web do jogador mostram "Data not found" ou nenhum registo destas transações. Isto confirma que, embora o cartão do jogador tenha sido cobrado através da infraestrutura da Skrill, não foi processado através da sua conta Skrill pessoal.
• Prova Direta de Sequestro de Identidade: Provas da área de suporte do beef.casino (uma marca associada) mostram o perfil interno de faturação do jogador ligado a múltiplos endereços de e-mail de terceiros não autorizados, como jony35@inbox.lv, ieva.gustina07@gmail.com e kaltinieks@inbox.lv. Esta é uma prova definitiva de que os seus dados KYC (Know Your Customer) e informações de pagamento estão a ser utilizados pelo operador para gerir uma rede de contas "mula".
• O Canal "NGPayments" / "Paygate": A documentação mostra que os pagamentos foram encaminhados através de instrumentos técnicos rotulados NGPayments e Paygate. Estes gateways funcionam como a ponte que permite que as contas fraudulentas interajam com processadores regulados como Skrill e Paysafe, enquanto utilizam descritores enganosos como "SKR*Skrill.com" nos extratos bancários para tranquilizar o banco da vítima.

A documentação prova um desvio deliberado da própria conta Skrill do jogador. Ao utilizar dados de identidade roubados recolhidos através de ficheiros APK maliciosos (disfarçados de aplicações da Google Play), os operadores criaram com sucesso uma estrutura financeira paralela onde controlam tanto a conta do "jogador" como a entidade "comerciante", deixando a vítima sem recurso através dos canais padrão de proteção ao consumidor.

O Canal de Pagamento: Mapeando as Fachadas

O fluxo de transações utiliza um elenco rotativo de "Agentes de Pagamento" para se manter à frente das listas negras bancárias. Os nós atualmente ativos nesta rede incluem:

• Cyperion Solutions Limited: (Reino Unido/Chipre) O canal principal para "NGPayments."
• Novaforge Limited / Briantie Limited: Fachadas secundárias utilizadas quando as contas principais são limitadas.
• Paygate: O painel técnico para estas transações.

Conclusão e Aviso Regulatório

Este caso prova que a Paysafe (Skrill/Rapid Transfer) tem uma vulnerabilidade crítica: a sua infraestrutura está a ser utilizada para facilitar o processamento de "contas não autorizadas". Os reguladores como a FCA e a CySEC devem investigar por que razão as contas de comerciante para "consultoras" como a Cyperion Solutions são autorizadas a processar cartões de terceiros sem corresponder à identidade do proprietário da conta.

Apelo à Ação para Denunciantes: É vítima da rede Galaktika N.V.? Descobriu que a sua identidade foi utilizada em e-mails não autorizados? Por favor, envie as suas provas para a Whistle42. Estamos especialmente à procura de comunicações internas das equipas de afiliados "V.Partners" ou "Galaktika".