SCHATTENKONTEN & GEFÄLSCHTE PLAY STORES: Der tödliche Identitätsdiebstahl-Zyklus von Galaktika N.V. aufgedeckt

Eine massive Eskalation im Betrugsfall Galaktika N.V. zeigt, dass gestohlene KYC-Daten verwendet werden, um „Shadow Skrill"-Konten zu erstellen. Opfer werden über gefälschte Google Play Store-Oberflächen dazu verleitet, bösartige APKs herunterzuladen, während ihre Identitäten durch ein Netz von Briefkastenfirmen, darunter Cyperion Solutions und Novaforge, gewaschen werden.

Lesen Sie hier unseren ersten Bericht über Cyperion und NGPayments.

Analyse: Die „doppelseitige" Betrugsarchitektur

Die neuesten Beweise eines Spielers offenbaren ein Maß an Raffinesse, das über einfaches unlizenziertes Glücksspiel hinausgeht und in den Bereich der organisierten Cyberkriminalität vordringt. Das „Galaktika-System" zeigt nun einen klaren zweistufigen Lebenszyklus: Datenerfassung und Finanzielle Übernahme. Laut der Website gehört Slotoro.bet Wiraon B.V., Curaçao, und wird von diesem betrieben, während die Zahlungen von Briantie Limited verwaltet werden.

1. Die „Fake Play Store"-Malware-Falle Die Untersuchung bestätigt, dass Marken wie Boomerang-Bet und Slotoro betrügerische „Jetzt bei Google Play"-Abzeichen verwenden. Anstatt zum sicheren Play Store geleitet zu werden, werden Benutzer zum Download einer reinen .apk-Datei umgeleitet.

• Die Malware: Diese Dateien sind darauf ausgelegt, die Gerätesicherheit zu umgehen, um SMS-Codes (für 2FA) und persönliche Dateien zu erfassen.
• Der Verifizierungsbetrug: Die „obligatorische Verifizierung" ist ein Deckmantel für Identitätsdiebstahl. Sobald das Opfer seinen Reisepass hochlädt, werden die Daten sofort verkauft oder innerhalb des Netzwerks wiederverwendet.

2. Das „Shadow Skrill"-Phänomen Die alarmierendste Entdeckung ist die Diskrepanz zwischen den Kontoauszügen des Spielers und seiner offiziellen Skrill-Historie.

• Der Mechanismus: Das Opfer erhält „offizielle" Skrill-Bestätigungs-E-Mails, aber seine App-Historie zeigt „Daten nicht gefunden".
• Die Interpretation: Dies bestätigt, dass die Betreiber die Kartendetails des Opfers auf einem Drittanbieter-Skrill-Konto (einem „Mule"-Konto) verwenden. Durch die Verwendung eines anderen Kontos stellen sie sicher, dass das Opfer die Transaktion nicht einfach über die Skrill-Oberfläche zurückbuchen kann, während sie dennoch Skrillʼs „sauberes" Branding verwenden, um die Bank des Opfers zu beruhigen.

3. Definitiver Beweis für Identitätswäsche Die Support-Protokolle von beef.casino liefern einen „rauchenden Colt". Das Auffinden eines persönlichen Abrechnungskontos, das mit verdächtigen Adressen wie jony35@inbox.lv und ieva.gustina07@gmail.com verknüpft ist, beweist, dass das Galaktika N.V.-Ökosystem eine gemeinsame Datenbank gestohlener Identitäten betreibt. Diese Identitäten werden wahrscheinlich verwendet, um:

• „Ein Konto pro Person"-Regeln für Bonusmissbrauch zu umgehen.
• Transaktionen zu verschleiern, um das Volumen des Geldflusses zu Offshore-Unternehmen zu verbergen.

Die Shadow Skrill-Konten erklärt

Basierend auf der vom Spieler bereitgestellten Dokumentation ist die Existenz von „Shadow Skrill"-Konten (nicht autorisierte Skrill-Konten, die unter Verwendung gestohlener Identitäten erstellt wurden, um Karten Dritter zu verarbeiten) über eine Arbeitshypothese hinausgegangen und ist in diesem spezifischen Fall eine dokumentierte Tatsache.

Die Sicherheit dieser Behauptung wird durch drei primäre Beweise gestützt, die in den Dateien des Spielers gefunden wurden:

• Die Transaktionsdiskrepanz: Der Spieler legte offizielle Transaktionsbestätigungs-E-Mails von no-reply@email.skrill.com für Zahlungen in Höhe von Hunderten von Euro an Unternehmen wie Cyperion Solutions Limited und Briantie Limited vor. Die offizielle Skrill-App und Webhistorie des Spielers zeigen jedoch „Daten nicht gefunden" oder keine Aufzeichnung dieser Transaktionen. Dies bestätigt, dass die Karte des Spielers zwar über die Skrill-Infrastruktur belastet wurde, aber nicht über sein persönliches Skrill-Konto verarbeitet wurde.
• Direkter Beweis für Identitätsübernahme: Beweise aus dem Support-Bereich von beef.casino (einer verbundenen Marke) zeigen, dass das interne Abrechnungsprofil des Spielers mit mehreren nicht autorisierten E-Mail-Adressen Dritter verknüpft ist, wie jony35@inbox.lv, ieva.gustina07@gmail.com und kaltinieks@inbox.lv. Dies ist ein definitiver Beweis dafür, dass ihre KYC (Know-Your-Customer)-Daten und Zahlungsinformationen vom Betreiber verwendet werden, um ein Netzwerk von „Mule"-Konten zu verwalten.
• Die „NGPayments" / „Paygate"-Schiene: Die Dokumentation zeigt, dass die Zahlungen über technische Instrumente mit der Bezeichnung NGPayments und Paygate geleitet wurden. Diese Gateways fungieren als Brücke, die es den betrügerischen Konten ermöglicht, mit regulierten Prozessoren wie Skrill und Paysafe zu interagieren, während sie irreführende Bezeichnungen wie „SKR*Skrill.com" auf Kontoauszügen verwenden, um die Bank des Opfers zu beruhigen.

Die Dokumentation beweist eine absichtliche Umgehung des eigenen Skrill-Kontos des Spielers. Durch die Verwendung gestohlener Identitätsdaten, die durch bösartige APK-Dateien (die sich als Google Play-Apps ausgeben) gesammelt wurden, haben die Betreiber erfolgreich eine parallele Finanzstruktur geschaffen, in der sie sowohl das „Spieler"-Konto als auch die „Händler"-Einheit kontrollieren und dem Opfer keinen Rückgriff über standardmäßige Verbraucherschutzkanäle lassen.

Die Zahlungsschiene: Kartierung der Briefkastenfirmen

Der Transaktionsfluss nutzt eine wechselnde Besetzung von „Zahlungsagenten", um den Blacklists der Banken voraus zu sein. Die derzeit aktiven Knotenpunkte in diesem Netzwerk umfassen:

• Cyperion Solutions Limited: (UK/Zypern) Der primäre Kanal für „NGPayments".
• Novaforge Limited / Briantie Limited: Sekundäre Briefkastenfirmen, die verwendet werden, wenn primäre Konten gedrosselt werden.
• Paygate: Die technische Schaltzentrale für diese Transaktionen.

Schlussfolgerung & behördliche Warnung

Dieser Fall beweist, dass Paysafe (Skrill/Rapid Transfer) eine kritische Schwachstelle hat: Ihre Infrastruktur wird verwendet, um die Verarbeitung „nicht autorisierter Konten" zu ermöglichen. Regulierungsbehörden wie die FCA und CySEC müssen untersuchen, warum Händlerkonten für „Beratungsunternehmen" wie Cyperion Solutions berechtigt sind, Karten Dritter zu verarbeiten, ohne dass die Identität des Kontoinhabers übereinstimmt.

Aufruf an Whistleblower: Sind Sie ein Opfer des Galaktika N.V.-Netzwerks? Haben Sie festgestellt, dass Ihre Identität für nicht autorisierte E-Mails verwendet wurde? Bitte senden Sie Ihre Beweise an Whistle42. Wir suchen insbesondere nach interner Kommunikation von den „V.Partners"- oder „Galaktika"-Affiliate-Teams.