シャドウアカウントと偽のプレイストア：Galaktika N.V.の致命的な個人情報窃盗サイクルが明らかに

Galaktika N.V.詐欺事件が大規模にエスカレートし、盗まれた本人確認(KYC)データが「Shadow Skrill」アカウントの作成に使用されていることが明らかになりました。被害者は偽のGoogle Play Storeインターフェースを介して悪意のあるAPKをダウンロードするよう誘導され、その身元はCyperion SolutionsやNovaforgeを含むペーパーカンパニーのネットワークを通じてロンダリングされています。

CyperionとNGPaymentsに関する当社の初期レポートはこちらをご覧ください。

分析:「両面」詐欺アーキテクチャ

プレイヤーから提供された最新の証拠は、単純な無許可ギャンブルを超えて組織的サイバー犯罪に発展した高度な洗練度を明らかにしています。「Galaktikaスキーム」は現在、データ収集と金融ハイジャックという明確な2段階のライフサイクルを示しています。ウェブサイトによると、Slotoro.betはWiraon B.V.(キュラソー)が所有・運営しており、支払いはBriantie Limitedが管理しています。

1. 「偽Play Store」マルウェアトラップ 調査により、Boomerang-BetやSlotoroなどのブランドが詐欺的な「Get it on Google Play」バッジを使用していることが確認されました。安全なPlay Storeの代わりに、ユーザーは生の.apkファイルをダウンロードするようリダイレクトされます。

• マルウェア: これらのファイルは、デバイスのセキュリティをバイパスしてSMS認証コード(2段階認証用)や個人ファイルを収集するように設計されています。
• 認証詐欺: 「必須認証」は個人情報盗難の隠れ蓑です。被害者がパスポートをアップロードすると、データは直ちに売却されるか、ネットワーク内で再利用されます。

2. 「Shadow Skrill」現象 最も憂慮すべき発見は、プレイヤーの銀行取引明細書と公式Skrill履歴との間の不一致です。

• メカニズム: 被害者は「公式」Skrill確認メールを受信しますが、アプリの履歴には「データが見つかりません」と表示されます。
• 解釈: これにより、運営者が被害者のカード情報を第三者のSkrillアカウント(「ミュール」アカウント)で使用していることが確認されます。異なるアカウントを使用することで、被害者がSkrillインターフェースを通じて簡単にチャージバックできないようにしながら、Skrillの「クリーン」なブランドを使って被害者の銀行を安心させます。

3. 身元ロンダリングの決定的証拠 beef.casinoからのサポートログが「決定的証拠」を提供しています。jony35@inbox.lvやieva.gustina07@gmail.comなどの疑わしいアドレスにリンクされた個人請求アカウントを見ることで、Galaktika N.V.エコシステムが盗まれた身元の共有データベースを運営していることが証明されます。これらの身元は次のように使用される可能性があります:

• ボーナス悪用のための「1人1アカウント」ルールをバイパス。
• オフショア企業への資金の流れを隠すために取引を重層化。

Shadow Skrillアカウントの説明

プレイヤーから提供された文書に基づき、「Shadow Skrill」アカウント(盗まれた身元を使用して第三者のカードを処理するために作成された不正なSkrillアカウント)の存在は、作業仮説を超えて、この特定のケースにおける文書化された事実となっています。

この主張の確実性は、プレイヤーのファイルで見つかった3つの主要な証拠によって裏付けられています:

• 取引の不一致: プレイヤーは、Cyperion Solutions LimitedやBriantie Limitedなどの企業への数百ユーロの支払いについて、no-reply@email.skrill.comからの公式取引確認メールを提供しました。しかし、プレイヤーの公式Skrillアプリとウェブ履歴には「データが見つかりません」またはこれらの取引の記録がありません。これにより、プレイヤーのカードがSkrillのインフラを介して請求されたにもかかわらず、個人のSkrillアカウントを通じて処理されていないことが確認されます。
• 身元ハイジャックの直接的証拠: beef.casino(関連ブランド)のサポートエリアからの証拠は、プレイヤーの内部請求プロファイルがjony35@inbox.lv、ieva.gustina07@gmail.com、kaltinieks@inbox.lvなどの複数の不正な第三者メールアドレスにリンクされていることを示しています。これは、彼らの本人確認(KYC)データと支払い情報が運営者によって「ミュール」アカウントのネットワークを管理するために使用されているという決定的な証拠です。
• 「NGPayments」/「Paygate」レール: 文書は、支払いがNGPaymentsおよびPaygateとラベル付けされた技術的手段を通じてルーティングされたことを示しています。これらのゲートウェイは、詐欺アカウントがSkrillやPaysafeなどの規制されたプロセッサーとインターフェースできるようにするブリッジとして機能し、被害者の銀行を安心させるために銀行取引明細書に「SKR*Skrill.com」などの誤解を招く記述子を使用します。

文書は、プレイヤー自身のSkrillアカウントの意図的なバイパスを証明しています。悪意のあるAPKファイル(Google Playアプリを装った)を通じて収集された盗まれた身元データを使用することで、運営者は「プレイヤー」アカウントと「加盟店」エンティティの両方を管理する並行金融構造を成功裏に作成し、被害者に標準的な消費者保護チャネルを通じた救済手段を残していません。

支払いレール:ペーパーカンパニーのマッピング

取引フローは、銀行のブラックリストの先を行くために「支払いエージェント」のローテーションキャストを利用しています。このネットワークで現在アクティブなノードには次のものが含まれます:

• Cyperion Solutions Limited: (英国/キプロス)「NGPayments」の主要なコンジット。
• Novaforge Limited / Briantie Limited: 主要アカウントが制限されたときに使用される二次的ペーパーカンパニー。
• Paygate: これらの取引の技術的交換台。

結論と規制当局への警告

このケースは、Paysafe(Skrill/Rapid Transfer)に重大な脆弱性があることを証明しています:彼らのインフラが「不正なアカウント」処理を促進するために使用されています。FCAやCySECなどの規制当局は、Cyperion Solutionsのような「コンサルタント会社」の加盟店アカウントがアカウント所有者の身元と一致することなく第三者のカードを処理することが許可されている理由を調査する必要があります。

内部告発者への行動喚起: あなたはGalaktika N.V.ネットワークの被害者ですか?不正なメールであなたの身元が使用されていることを発見しましたか?証拠をWhistle42に送信してください。特に「V.Partners」または「Galaktika」アフィリエイトチームからの内部コミュニケーションを探しています。