Safew — це приватний комунікаційний додаток, схожий за функціоналом на Telegram, заснований на його криптографічних технологіях (протокол MTProto). Повідомлення, голосові, відео та файли під час передачі повністю зашифровані, і лише обидві сторони чату можуть їх бачити, сервер не має доступу до змісту. Деякі компанії через питання приватності навіть додатково впроваджують приватні розгортання, щоб повністю контролювати дані або уникнути регуляторних перевірок.

Через зростаючу кількість співпраці з правоохоронними органами та блокування спільнот Telegram, найбільша в Південно-Східній Азії нелегальна платформа гарантування обмінів криптовалют — Xinbi Guarantee — намагається перенести свої публічні групи на Safew. Це спричинило масове поширення підроблених додатків Safew, що становить загрозу безпеці криптовалютних коштів чорних і сірих ринків, орієнтованих на публічні групи.

Ця стаття має на меті частково розкрити цю ситуацію.

Хронологія

13 травня 2025 року за київським часом, найбільші нелегальні платформи для гарантування обмінів у Південно-Східній Азії — Haowang Guarantee та Xinbi Guarantee — були під санкціями від офіційного Telegram. Багато офіційних акаунтів підтримки та бізнес-груп були заблоковані, що спричинило тимчасову зупинку діяльності та паніку серед чорних і сірих ринків.

Обидві компанії реагували по-різному:

13 травня вранці Haowang Guarantee оголосила про припинення діяльності та передала всі публічні групи компанії Potato Guarantee, яка раніше отримала 30% інвестицій від Haowang. Формально закриваючи свою діяльність, Haowang Guarantee фактично вийшла з ринку, перейменувавшись у Potato Guarantee та продовжуючи нелегальні операції.

14 травня Xinbi Guarantee оновила головну сторінку сайту xinbi[.]com, оголосивши про запуск Safew публічних груп для обходу блокування Telegram. Хоча сайт вже не активний, архівні копії все ще містять сліди цієї діяльності.

Одразу ж у чорних і сірих спільнотах почали з’являтися критичні відгуки щодо Xinbi Guarantee та їхнього запуску Safew, вважаючи, що це спрямовано на крадіжку криптоактивів користувачів. Ці негативні обговорення досягли піку на початку 2026 року, коли Potato Guarantee повністю збанкрутувала, а Xinbi Guarantee прискорила міграцію груп.

Підроблені сайти Safew

Незважаючи на те, що Xinbi Guarantee повторює, що правильна посилання для завантаження Safew — це офіційний сайт, і стверджує, що додаток вже доступний у App Store, багато шахраїв створюють підроблені сайти, що імітують офіційний, і просувають їх через пошукові системи.

Наприклад, неофіційний сайт safew-x[.]com. Аналіз за допомогою онлайн-пісочниці ANY.RUN показав, що цей сайт містить шкідливий код.

Після запуску зразка (посилання для завантаження: [.].com/_dl.php?t=win) виявлено активність зловмисного програмного забезпечення — Gh0stRAT SweetSpecter, повнофункціональний віддалений доступний троян. Він встановлює зв’язок із командним сервером і активує правила Emerging Threats:

• ET MALWARE [ANY.RUN] Gh0stRAT.Gen Server Response (SweetSpecter)
• ET DROP Spamhaus DROP Listed Traffic Inbound group 2

Цей зразок має можливості віддаленого керування, запису клавіатури, крадіжки файлів тощо. Після інфікування цільового пристрою зловмисники отримують повний контроль над ним, включаючи реальний час, моніторинг камери та мікрофона, крадіжку файлів і виконання команд. Це високоризикова програма, яка може довго залишатися непоміченою і красти конфіденційні дані.

Для публічних груп і користувачів, що використовують криптогаманці для нелегальної діяльності, ця шкідлива програма є очевидною загрозою — вона націлена на приватні ключі.

Аналіз діяльності Safew публічних груп Xinbi Guarantee

Bitrace довгий час відслідковує фінансову активність Xinbi Guarantee. Аналіз показує, що хоча компанія запустила Safew групи ще в травні 2025 року, вона виділила окрему адресу для цієї послуги лише в серпні того ж року, і обсяг операцій був невеликим і знижувався щомісяця.

Наприкінці 2025 року та на початку 2026 року, після збанкрутства Huiwang Pay та Potato Guarantee, Xinbi Guarantee активно просувала свої Safew групи, і активність адрес зросла. У січні 2026 року вони короткочасно досягли понад 32 мільйони USDT у місячних потоках, але згодом знизилися.

Після аналізу всіх адрес Xinbi Guarantee виявлено, що обсяг депозитів у Safew за місяць становить лише частину від одного дня активності у Telegram, що свідчить про те, що Telegram залишається основним каналом для чорних і сірих ринків.

Підсумки

Насправді, зловживання та шахрайські схеми у чорних і сірих ринках дуже поширені — від підроблених гаманців і Telegram до фізичних атак і соціальної інженерії. Ця група поза законом стає все більш ціллю для атак.

Після збанкрутства Potato Guarantee Xinbi Guarantee стала найбільшим нелегальним платформою для гарантування криптообмінів у Південно-Східній Азії. Ці фішингові кампанії проти Safew ще не закінчені і, ймовірно, будуть продовжуватися.

Bitrace продовжить моніторинг ситуації.