COMPTES FANTÔMES & FAUSSES BOUTIQUES D'APPLICATIONS : Le Cycle Mortel de Vol d'Identité de Galaktika N.V. Révélé

Une escalade massive de l'affaire de fraude de Galaktika N.V. révèle que des données KYC volées sont utilisées pour créer des comptes « Shadow Skrill ». Les victimes sont attirées via de fausses interfaces du Google Play Store pour télécharger des APK malveillants, tandis que leurs identités sont blanchies à travers un réseau de sociétés écrans incluant Cyperion Solutions et Novaforge.

Lisez notre rapport initial sur Cyperion et NGPayments ici.

Analyse : L'architecture de fraude « à double face »

Les dernières preuves fournies par un joueur exposent un niveau de sophistication qui va au-delà du simple jeu d'argent sans licence pour entrer dans le domaine de la cybercriminalité organisée. Le « Système Galaktika » montre désormais un cycle de vie clair en deux étapes : Collecte de données et Détournement financier. Selon le site web, Slotoro.bet appartient et est exploité par Wiraon B.V., Curaçao, tandis que les paiements sont gérés par Briantie Limited.

1. Le piège malveillant du « Faux Play Store » L'enquête confirme que des marques comme Boomerang-Bet et Slotoro utilisent de faux badges « Disponible sur Google Play ». Au lieu du Play Store sécurisé, les utilisateurs sont redirigés pour télécharger un fichier .apk brut.

• Le malware : Ces fichiers sont conçus pour contourner la sécurité de l'appareil afin de collecter les codes SMS (pour l'authentification à deux facteurs (2FA)) et les fichiers personnels.
• L'escroquerie de vérification : La « vérification obligatoire » est une façfaçade pour le vol d'identité. Une fois que la victime télécharge son passeport, les données sont immédiatement vendues ou réutilisées dans le réseau.

2. Le phénomène « Shadow Skrill » La découverte la plus alarmante est l'écart entre les relevés bancaires du joueur et son historique Skrill officiel.

• Le mécanisme : La victime reçoit des e-mails de confirmation Skrill « officiels », mais l'historique de son application affiche « Données introuvables ».
• L'interprétation : Cela confirme que les opérateurs utilisent les détails de la carte de la victime sur un compte Skrill appartenant à une tierce partie (un compte « relais »). En utilisant un compte différent, ils s'assurent que la victime ne peut pas facilement contester la transaction via l'interface Skrill, tout en utilisant l'image de marque « propre » de Skrill pour rassurer la banque de la victime.

3. Preuve définitive du blanchiment d'identité Les journaux de support de beef.casino fournissent une « preuve irréfutable ». Voir un compte de facturation personnel lié à des adresses suspectes comme [email protected] et [email protected] prouve que l'écosystème Galaktika N.V. exploite une base de données partagée d'identités volées. Ces identités sont probablement utilisées pour :

• Contourner les règles « un compte par personne » pour abus de bonus.
• Superposer des transactions pour masquer le volume d'argent circulant vers des entités offshore.

Les comptes Shadow Skrill expliqués

Sur la base de la documentation fournie par le joueur, l'existence de comptes « Shadow Skrill » (comptes Skrill non autorisés créés à l'aide d'identités volées pour traiter des cartes appartenant à une tierce partie) a dépassé le stade de l'hypothèse de travail et est un fait documenté dans ce cas spécifique.

La certitude de cette affirmation est soutenue par trois éléments de preuve principaux trouvés dans les fichiers du joueur :

• L'écart de transaction : Le joueur a fourni des e-mails de confirmation de transaction officiels de [email protected] pour des paiements totalisant des centaines d'euros à des entités telles que Cyperion Solutions Limited et Briantie Limited. Cependant, l'application Skrill officielle et l'historique web du joueur affichent « Données introuvables » ou aucune trace de ces transactions. Cela confirme que bien que la carte du joueur ait été débitée via l'infrastructure de Skrill, elle n'a pas été traitée via son compte Skrill personnel.
• Preuve directe de détournement d'identité : Les preuves de la zone de support de beef.casino (une marque associée) montrent le profil de facturation interne du joueur lié à plusieurs adresses e-mail non autorisées appartenant à une tierce partie, telles que [email protected], [email protected] et [email protected]. C'est une preuve définitive que leurs données Know Your Customer (KYC) et leurs informations de paiement sont utilisées par l'opérateur pour gérer un réseau de comptes « relais ».
• Le rail « NGPayments » / « Paygate » : La documentation montre que les paiements ont été acheminés via des instruments techniques étiquetés NGPayments et Paygate. Ces passerelles agissent comme le pont qui permet aux comptes frauduleux d'interagir avec des processeurs réglementés comme Skrill et Paysafe tout en utilisant des descripteurs trompeurs comme « SKR*Skrill.com » sur les relevés bancaires pour rassurer la banque de la victime.

La documentation prouve un contournement délibéré du propre compte Skrill du joueur. En utilisant des données d'identité volées collectées via des fichiers APK malveillants (se faisant passer pour des applications Google Play), les opérateurs ont réussi à créer une structure financière parallèle où ils contrôlent à la fois le compte « joueur » et l'entité « marchand », laissant la victime sans recours via les canaux standard de protection des consommateurs.

Le rail de paiement : Cartographie des sociétés écrans

Le flux de transactions utilise une distribution tournante d'« agents de paiement » pour garder une longueur d'avance sur les listes noires bancaires. Les nœuds actuellement actifs dans ce réseau comprennent :

• Cyperion Solutions Limited : (Royaume-Uni/Chypre) Le conduit principal pour « NGPayments ».
• Novaforge Limited / Briantie Limited : Sociétés écrans secondaires utilisées lorsque les comptes principaux sont limités.
• Paygate : Le standard technique pour ces transactions.

Conclusion et avertissement réglementaire

Cette affaire prouve que Paysafe (Skrill/Rapid Transfer) présente une vulnérabilité critique : leur infrastructure est utilisée pour faciliter le traitement de « comptes non autorisés ». Les régulateurs comme la FCA et la CySEC doivent enquêter sur les raisons pour lesquelles les comptes marchands de « cabinets de conseil » comme Cyperion Solutions sont autorisés à traiter des cartes appartenant à une tierce partie sans correspondre à l'identité du titulaire du compte.

Appel à l'action pour les lanceurs d'alerte : Êtes-vous une victime du réseau Galaktika N.V. ? Avez-vous découvert que votre identité était utilisée sur des e-mails non autorisés ? Veuillez envoyer vos preuves à Whistle42. Nous recherchons particulièrement des communications internes des équipes d'affiliation « V.Partners » ou « Galaktika ».