13.10.2025
1 хв
511
Іспанська Guardia Civil ліквідувала діяльність кримінальної групи «GXC Team» і затримала її нібито лідера — 25-річного бразильця, відомого як «GoogleXcoder». Операція припинила роботу платформи CaaS (crime-as-a-service), що постачала AI-фішингові набори, Android-малвару та інструменти для телефонних шахрайств, і дозволила вилучити викрадену криптовалюту та закрити Telegram-канали, що використовувались для поширення схем.
За даними слідства та аналітиків Group-IB, «GXC Team» створювала і продавала підроблені сайти десятків іспанських та міжнародних установ; лише в рамках виявленої діяльності платформа підтримувала щонайменше ~250 фішингових сторінок. Команда також розробила мінімум дев’ять Android–семейств шкідливого ПЗ, які перехоплювали SMS та одноразові коди (OTP) — це давало змогу захоплювати облікові записи й підтверджувати шахрайські операції. Поліція провела координацію рейдів 20 травня в кількох провінціях (Кантабрія, Вальядолід, Сарагоса, Барселона, Пальма-де-Майорка, Сан-Фернандо та Ла-Лінья де ла Консепсьйон), вилучила електронні носії з вихідним кодом фішингових наборів, комунікаціями з клієнтами та фінансовими звітами, а також конфіскувала частину викрадених коштів. Було закрито Telegram-канали, через які продавалися послуги та рекламувалися злочинні кампанії (серед них канал з провокаційною назвою «Steal everything from grandmothers»). Розслідування тривало понад рік і включало аналіз криптопереказів для відстеження мережі клієнтів і посередників.
Група дійсно виглядала як «кримінальна платформа» — замість одноразових проєктів вона пропонувала повний спектр: шаблони фішингових сайтів, техпідтримку, налаштування кампаній і інструменти для обходу двофакторної аутентифікації. Group–IB та Guardia Civil документували, що клієнтами GXC були оператори атак проти банків, транспорту та e-commerce у різних країнах (Іспанія, Словаччина, Велика Британія, США, Бразилія). Судово-технічні експертизи й аналіз блокчейну допомогли «розгорнути картину» фінансових потоків і ідентифікувати щонайменше шестеро людей, причетних до використання послуг платформи.
Операція іспанської поліції — значний удар по інфраструктурі, що постачала інструменти для масових фішингових кампаній і перехоплення OTP, але розслідування триває, і можливі подальші арешти. Організаціям та користувачам слід посилити захист: верифікувати джерело смс/лилів з посиланнями, використовувати апаратні ключі або passkeys замість SMS-2FA, регулярно оновлювати Android-пристрої та застосовувати багаторівневі рішення для виявлення фішингу. Закриття каналів і вилучення коду суттєво ускладнюють діяльність зловмисників, але попит на CaaS-послуги зберігає загрозу — тому профілактика і оперативна співпраця сектору та правоохоронців лишаються ключовими.
