Чорний піар: Обережно з ризиком крадіжки монет через підроблені гарантії нових монет у додатку Safew

Написано: Bitrace

Safew — це приватний месенджер, основний функціонал якого схожий на Telegram, заснований на його криптографічних технологіях (протокол MTProto). Повідомлення, голосові, відео та файли під час передачі шифруються на всьому шляху, і лише обидві сторони чату можуть бачити їхній зміст, сервер не має доступу до даних. Деякі компанії через питання приватності навіть додатково впроваджують приватні розгортання, щоб повністю контролювати дані або уникнути регуляторних перевірок.

Через зростаючу кількість співпраці з правоохоронними органами та блокування спільнот у Telegram, найбільша в Південно-Східній Азії нелегальна платформа гарантування обмінів криптовалют — Xinbi Guarantee — намагається перенести свої публічні групи на Safew. Це спричинило масове поширення фальшивих додатків Safew, що становить загрозу безпеці криптовалютних коштів чорних і сірих ринків, орієнтованих на публічні групи.

Ця стаття має на меті частково розкрити цю ситуацію.

Хронологія

13 травня 2025 року за київським часом, найбільші в Південно-Східній Азії нелегальні платформи гарантування — Haowang Guarantee та Xinbi Guarantee — були піддані санкціям від офіційного Telegram. Багато офіційних акаунтів підтримки та бізнес-груп були заблоковані, що призвело до тимчасової зупинки діяльності та викликало паніку серед чорних і сірих ринків.

Обидві компанії реагували по-різному:

13 травня вранці Haowang Guarantee оголосила про припинення діяльності та передала всі свої публічні групи компанії Tudou Guarantee, яка раніше отримала 30% інвестицій від Haowang. Формально закрившись, Haowang Guarantee фактично вийшла з ринку, перейменувавшись у Tudou Guarantee і продовжуючи нелегальні операції.

14 травня Xinbi Guarantee оновила головну сторінку сайту xinbi[.]com, оголосивши про запуск Safew публічних груп для обходу блокувань Telegram. Хоча сайт вже не активний, архівні копії все ще містять сліди цієї діяльності.

Одночасно в чорних і сірих спільнотах почали з’являтися критичні відгуки щодо Xinbi Guarantee та їхнього запуску Safew, вважаючи, що це шахрайство з метою крадіжки криптоактивів користувачів. Ці негативні обговорення досягли піку у 2026 році, коли Tudou Guarantee повністю збанкрутувала, а Xinbi Guarantee прискорила міграцію груп, що спричинило максимальні масштаби.

Поява фальшивих сайтів Safew

Незважаючи на те, що Xinbi Guarantee повторює, що правильна адреса для завантаження Safew — це офіційний сайт, і стверджує, що додаток вже доступний у App Store, багато шахраїв створюють підроблені сайти, що імітують офіційний ресурс, і просувають їх через пошукові системи.

Наприклад, неофіційний сайт safew-x[.]com. Аналіз за допомогою онлайн-пісочниці ANY.RUN показав, що цей сайт містить шкідливий код.

Після запуску зразка виконується поширення модифікації Gh0stRAT SweetSpecter (повнофункціональний віддалений доступний троян), встановлюється зв’язок із командним сервером і активуються правила Emerging Threats:

ET MALWARE [ANY.RUN] Gh0stRAT.Gen Server Response (SweetSpecter)

ET DROP Spamhaus DROP Listed Traffic Inbound group 2

Ця модифікація має можливості віддаленого доступу, запису клавіатури, крадіжки файлів тощо. Після інфікування пристрою зловмисники отримують повний контроль над ним, включаючи реальний час віддаленого доступу, моніторинг камери та мікрофона, крадіжку файлів і виконання команд. Інфіковані пристрої можуть залишатися прихованими і довгий час красти конфіденційні дані. Це високоризикова віддалена керована програма-шпигун (RAT).

Для багатьох користувачів і публічних груп, що використовують криптовалютні гаманці для чорних і сірих операцій, головною ціллю є приватний ключ гаманця, що зберігається на пристрої.

Аналіз діяльності Xinbi Guarantee та Safew

Bitrace довгий час відслідковує фінансову активність Xinbi Guarantee. Аналіз адрес, що використовуються для депозитів у Safew, показує, що хоча ця послуга була запущена ще в травні 2025 року, вона отримала окрему адресу лише в серпні того ж року, і обсяг операцій був невеликим і знижувався щомісяця.

До кінця 2025 року та початку 2026 року, після збанкрутства Wuhang Pay і Tudou Guarantee, Xinbi Guarantee активно просувала свою діяльність у Safew, і обсяг транзакцій зріс, досягнувши понад 32 мільйони USDT у січні 2026 року, але згодом знизився.

Після аналізу всіх депозитних адрес Xinbi Guarantee виявлено, що обсяг депозитів через канал Safew за місяць становить лише частку від одного дня активності в Telegram, що свідчить про те, що Telegram залишається основним каналом для чорних і сірих груп.

Підсумки

Фактично, зловживання та шахрайські схеми серед чорних і сірих ринків дуже поширені — від підроблених гаманців і Telegram до фізичних атак і соціальної інженерії. Ця група поза законом стає все більш ціллю для атак.

Після збанкрутіння Tudou Guarantee Xinbi Guarantee став найбільшим нелегальним платформою гарантування криптовалют у Південно-Східній Азії. Ці фішингові кампанії проти груп Safew — не початок і не кінець, і Bitrace продовжить моніторинг ситуації.