Black eats black: Cuidado com o risco de moedas falsas e golpes na aplicação Safew

Escrito por: Bitrace

Safew é uma aplicação de comunicação privada semelhante ao Telegram, baseada na tecnologia de criptografia do Telegram (protocolo MTProto). Mensagens, voz, vídeo e ficheiros são encriptados durante toda a transmissão, podendo ser visualizados apenas pelos interlocutores, sem possibilidade de leitura pelos servidores. Algumas empresas, por motivos de privacidade, optam por uma implementação privada, controlando totalmente os dados ou evitando auditorias de conformidade.

Devido às crescentes ações de fiscalização e bloqueios de grupos no Telegram, a maior plataforma de troca ilegal de criptomoedas na Ásia Sudeste — Xinbi Garant — está a tentar migrar os seus grupos públicos para Safew, o que tem levado ao surgimento de aplicações falsas de Safew, ameaçando a segurança dos fundos criptográficos de operadores de grupos públicos, principalmente na esfera negra e cinza.

Este artigo visa divulgar parcialmente esta situação de exploração mútua.

Linha do tempo

Em 13 de maio de 2025, horário de Pequim, as duas maiores plataformas de troca ilegal de criptomoedas na Ásia Sudeste — Haowang Garant e Xinbi Garant — foram sancionadas oficialmente pelo Telegram. Muitas contas de atendimento ao cliente e grupos públicos foram banidos, interrompendo temporariamente as operações e causando pânico generalizado na comunidade de atividades ilegais.

As duas entidades responderam de formas distintas:

Na manhã de 13 de maio, Haowang Garant anunciou a suspensão das operações e a transferência de todos os seus grupos públicos para Potato Garant, uma entidade relacionada que anteriormente tinha uma participação de 30%. Com uma aparência de falência, Haowang Garant conseguiu escapar à repressão, rebatizando-se como Potato Garant e continuando a sua atividade ilegal.

No dia seguinte, 14 de maio, Xinbi Garant atualizou o conteúdo da sua página principal xinbi[.]com, anunciando a ativação oficial do grupo público Safew para contornar o bloqueio do Telegram às suas atividades ilegais. Apesar do conteúdo do site estar desatualizado, é possível encontrar vestígios através de ferramentas de arquivamento web.

Imediatamente, a comunidade de atividades negras e cinzentas começou a criticar Xinbi Garant por lançar Safew, alegando que o objetivo era roubar os ativos criptográficos dos utilizadores. Essas discussões negativas atingiram o pico no início de 2026, após o encerramento completo do Potato Garant e a aceleração na migração dos grupos públicos de Xinbi Garant.

Sites falsos de Safew proliferam

Apesar de Xinbi Garant reiterar o endereço oficial de download do Safew e afirmar que o aplicativo já está disponível na App Store, muitos grupos criminosos criaram sites falsos de download de Safew, contaminando os resultados de pesquisa e promovendo-os.

Um exemplo é o link não oficial safew-x[.]com. Ao analisar essa amostra com a ferramenta de sandbox de segurança online ANY.RUN, foram detectadas atividades maliciosas.

Após a execução, o arquivo libera uma variante do Gh0stRAT SweetSpecter (um Trojan de acesso remoto completo) e estabelece comunicação com um servidor de comando e controlo, ativando regras de ameaças emergentes:

ET MALWARE [ANY.RUN] Gh0stRAT.Gen Server Response (SweetSpecter)

ET DROP Spamhaus DROP Listed Traffic Inbound group 2

Esta variante possui capacidades de acesso remoto, gravação de teclado, roubo de ficheiros, entre outras. Após infetar o dispositivo, o atacante consegue controlar completamente a máquina, incluindo acesso remoto em tempo real, gravação de teclado, monitorização de câmeras/microfones, roubo e transmissão de ficheiros, execução de comandos arbitrários e implantação de ferramentas maliciosas adicionais. Uma vez infetado, o dispositivo pode permanecer comprometido por longos períodos, com risco de roubo de dados sensíveis. Classificado como um Trojan de acesso remoto de alto risco (RAT).

Para muitos operadores e utilizadores de grupos públicos que gerenciam carteiras de criptomoedas, este tipo de malware tem como alvo principal as chaves privadas armazenadas nos dispositivos.

Análise do negócio de grupos públicos Xinbi Garant e Safew

A Bitrace monitorou há longo prazo as atividades financeiras de Xinbi Garant. Uma investigação às carteiras de depósito do grupo Safew revelou que, embora o serviço tenha sido lançado em maio de 2025, só em agosto do mesmo ano foi atribuída uma carteira de negócios independente, com um volume relativamente baixo e em declínio mensal.

Até o final de 2025 e início de 2026, com o colapso do PayWang e Potato Garant, Xinbi Garant intensificou a promoção do seu serviço Safew, levando a um aumento temporário na atividade das carteiras, atingindo um fluxo de entrada de mais de 32 milhões de USDT em janeiro de 2026, antes de diminuir novamente mês a mês.

Após análise de todas as carteiras de depósito de Xinbi Garant, constatou-se que o volume de depósitos em Safew num mês equivale apenas ao volume de um dia na plataforma Telegram, indicando que o Telegram continua a ser a principal plataforma de operação de grupos criminosos de Xinbi Garant.

Conclusão

Na realidade, as atividades ilícitas de exploração mútua entre criminosos são frequentes, desde carteiras falsas até ataques físicos e engenharia social online. Este grupo, que opera fora do âmbito legal, torna-se cada vez mais alvo de ataques.

Após o encerramento do Potato Garant, Xinbi Garant tornou-se a maior plataforma de garantia de criptomoedas ilegal na Ásia Sudeste. As atividades de phishing contra operadores de grupos Safew ainda não terminaram e provavelmente continuarão.

A Bitrace continuará a monitorar de perto esta situação.