Черный в черном: остерегайтесь риска кражи монет через поддельное приложение Safew, гарантирующее новые монеты

Написано: Bitrace

Safew — это приложение для приватных коммуникаций, основная функция которого похожа на Telegram. Основано на шифровальных технологиях Telegram (протокол MTProto). Сообщения, голосовые, видео и файлы шифруются на всём протяжении передачи, и только участники чата могут видеть содержимое, сервер не имеет доступа к данным. Некоторые компании из соображений конфиденциальности даже используют приватизированные развертывания, чтобы полностью контролировать данные или избегать нормативных требований.

Из-за всё более частых взаимодействий с правоохранительными органами и блокировок сообществ Telegram, крупнейшая в Юго-Восточной Азии нелегальная платформа для гарантирования сделок с криптовалютой — Xinbi — пытается перенести свои публичные группы на Safew. В результате этого появляется множество поддельных приложений Safew, что создает угрозу безопасности криптовалютных средств участников черного и серого рынков, в основном владельцев публичных групп.

Цель статьи — частично раскрыть эту ситуацию.

Хронология

По московскому времени 13 мая 2025 года две крупнейшие нелегальные платформы для гарантирования сделок с криптовалютой в Юго-Восточной Азии — HaoWang Guarantee и Xinbi Guarantee — были заблокированы официальными органами Telegram. Множество аккаунтов службы поддержки и публичных групп были заблокированы, что привело к временной остановке деятельности и вызвало массовую паніку в черных и серых сообществах.

Эти компании отреагировали по-разному:

13 мая утром HaoWang Guarantee объявила о прекращении деятельности и передала все свои публичные группы компании Potato Guarantee, которая ранее получила 30% инвестиций от HaoWang. В форме «ликвидации» HaoWang фактически вышла из бизнеса, переименовалась в Potato Guarantee и продолжила нелегальную деятельность.

14 мая Xinbi Guarantee обновила главную страницу сайта xinbi[.]com, объявив о запуске публичных групп Safew для обхода блокировок Telegram. Хотя сайт уже недоступен, его архивные версии позволяют заметить признаки активности.

Вскоре сообщество черных и серых участников начало критиковать Xinbi Guarantee за запуск Safew, обвиняя в краже криптоактивов пользователей. Эти негативные обсуждения достигли пика в начале 2026 года, после полного закрытия Potato Guarantee и ускорения миграции групп Xinbi.

Массовое появление поддельных сайтов Safew

Несмотря на то, что Xinbi Guarantee неоднократно подчеркивала правильный адрес загрузки Safew и заявляла, что приложение уже доступно в App Store, множество мошеннических групп создают поддельные сайты для скачивания и используют SEO-манипуляции для продвижения.

Например, неофициальный сайт safew-x[.]com. Анализ с помощью онлайн-песочницы ANY.RUN выявил вредоносную активность.

После запуска образца обнаружен Gh0stRAT SweetSpecter — полноценный удаленный доступный троян, который устанавливает связь с командным сервером и активирует следующие правила Threats:

ET MALWARE [ANY.RUN] Gh0stRAT.Gen Server Response (SweetSpecter)

ET DROP Spamhaus DROP Listed Traffic Inbound group 2

Этот вредоносный софт обладает возможностями удаленного управления, записи клавиатуры, кражи файлов и т. д. После заражения устройство под контролем злоумышленников, которые могут управлять им полностью, включая удаленный рабочий стол, мониторинг камеры и микрофона, кражу данных и выполнение команд. Такие угрозы считаются высокоопасными.

Для владельцев криптовалютных кошельков, использующих публичные группы для черных и серых операций, главная цель — похищение приватных ключей.

Анализ деятельности Xinbi Guarantee и Safew

Bitrace давно отслеживает финансовую активность Xinbi Guarantee. Исследования показывают, что хотя Safew был запущен в мае 2025 года, отдельные адреса для этой услуги появились только в августе того же года, и их объем был невысоким и постепенно снижался.

К концу 2025 года и в начале 2026-го, после закрытия WuiWang Pay и Potato Guarantee, Xinbi активно продвигала свои Safew-группы. В январе 2026 года объем входящих средств достиг более 32 миллионов USDT за месяц, затем снизился.

Анализ показывает, что за месяц Safew-канал собирает объем депозитов, равный одному дню в Telegram, что свидетельствует о том, что Telegram остается основным каналом для черных и серых групп Xinbi.

Заключение

На самом деле, случаи мошенничества и злоупотреблений в черных и серых сообществах — частое явление: от поддельных кошельков и Telegram до атак на офлайн-объекты и социальных инженерных схем. Эти группы, действующие вне закона, становятся мишенями для атак.

После закрытия Potato Guarantee Xinbi стала крупнейшей нелегальной платформой для гарантирования сделок с криптовалютой в Юго-Восточной Азии. Атаки на группы Safew — это лишь начало, и они еще не закончены.

Bitrace продолжит мониторинг ситуации.