應用商店
錢包

2025年十大加密貨幣惡意程式威脅:如何保護你的手機錢包安全

Kostiantyn TsentsuraJun, 25 2025 15:30
2025年十大加密貨幣惡意程式威脅:如何保護你的手機錢包安全

愈來愈多加密貨幣用戶依賴智能手機管理資產——由流動錢包到交易App。可惜,網絡犯罪分子亦盯上這片市場。一波[針對加密貨幣愛好者的流動惡意程式],透過惡意App及騙局攻擊Android及iOS用戶。

本文用淺白方式為你拆解當前最猖獗的新型威脅,例如剪貼板惡意程式、“錢包吸血鬼即服務”詐騙、資訊竊取間諜程式、假錢包App等。逐一解釋各類攻擊手法、誰屬高危族群,及(最重要)如何有效防護你的加密資產。

剪貼板惡意程式:劫持你的加密交易

最陰險的威脅之一是剪貼板惡意程式——會偷換你複製的加密地址。當你複製一組錢包地址(通常是很長的字母及數字)並準備貼上發送資金時,剪貼板程式會悄悄將其換成黑客的地址。如你未察覺,便會將Bitcoin、Ether或其他幣轉去賊人的戶口。這種惡意程式專門“剪輯”並更改你裝置剪貼板內的資料——故名思義。

運作原理: 剪貼板惡意程式一般於手機或電腦背景執行,偵測像加密地址的內容,一旦偵測就換成黑客控制的類似地址。由於加密住址又長又複雜,大部分人很難肉眼分辨,極易中招。整個交易表面上無異常,但實際資金早已進賊人戶口。到發現異樣時,錢已無法追回(加密貨幣轉帳不可逆轉)。

手機感染途徑: 這類程式多透過非官方App及檔案散播。Binance(大型加密貨幣交易所)2024年警告,Android平台尤要小心不明App及瀏覽器外掛,有剪貼板程式藏於其中。某些用戶因地區限制難以使用官方應用商店,只能從第三方網站下載錢包App或工具——為惡意程式打開大門。(iOS/iPhone用戶因Apple有更高審查標準受害較少,但亦不能掉以輕心。)有案例顯示,某些國產便宜Android手機預載被植入惡意剪貼板程式的WhatsApp及Telegram,屬供應鏈攻擊。手機一出廠已被感染——這些假App會篩查聊天訊息中的加密錢包地址並將其偷偷換成攻擊者的。

現實案例: 剪貼板劫持其實早已有之(初期針對銀行帳號),但因加密熱潮再成新寵。一場攻擊行動中,超過52個國家、1.5萬名用戶誤下假Tor Browser下載其中暗藏的剪貼板惡意程式,短短數月被盜逾40萬美元。保安專家指出,這類惡意程式難以察覺,毋須外部伺服器控制或彈出任何訊息,可以潛伏數月,只要你一複製加密地址即中招。

高危用戶: 任何從被感染裝置發送加密貨幣者均受威脅,而經常從非官方渠道安裝App的用戶尤其高危。部分地區因官方App及交易所訪問受限(令用戶轉用非正規版本),感染率更高。例如2024年8月底全球爆發一波剪貼板惡意程式事件,很多人還未發現提款地址早被暗中篡改,蒙受巨大損失。

剪貼板防護貼士: 最重要是小心核對。每次貼上錢包地址做交易前,務必比對清楚開首及結尾數字/字母是否正確。如可行,建議用QR code或App內分享功能代替複製貼上。只有從Google Play、Apple App Store或官網下載錢包App及外掛。千萬別亂安裝來歷不明的APK或點擊奇怪彈窗。使用信譽良好的流動保安App亦能阻擋已知惡意程式。

“錢包吸血鬼即服務”:釣魚網頁清空你的錢包

有時黑客無需在你的手機裝惡意軟件——一個誘騙你主動交出資金的釣魚網站或App就足夠了。所謂「錢包吸血鬼」其實就是度身訂造針對加密貨幣錢包的釣魚詐騙。典型攻擊方法,是假扮交易所/錢包/NFT平台,誘你輸入私鑰或助記詞或連接錢包,一旦上當資產被即時“抽乾”。

近年這些詐騙手法歸類極為專業化,黑客甚至推出「吸血鬼即服務」(DaaS),任何人都可租用這些惡意套件自行行騙。2023年一宗大型行動“Inferno Drainer”冒充逾百間加密平台(由Coinbase至WalletConnect)並建立超過16000個釣魚網站。短短一年,全球約137,000名受害者被盜逾8000萬美元。這團伙甚至為其他騙徒提供假網站模板及釣魚腳本,收取成功分成。由於租用吸血鬼工具門檻極低——只需一兩百美元——令新手都能涉足(只要一名受害者被騙就回本)。

運作方式: 這類詐騙多靠社交工程。黑客以假帳號/入侵其他人帳號於Twitter/X、Telegram、Discord等瘋傳釣魚連結,誘之以“空投”送幣、“搶先鑄造NFT”或“服務補償”等名目。受害者點進去後會看到幾可亂真的服務頁面(例如跟MetaMask、DeFi網站一模一樣),要求連結錢包或輸入助記詞。有時會在連結錢包後,要求用戶授權管理全部代幣或簽名一項看似無害的交易。只要批准,惡意合約或腳本立即轉走你的資產。如果你手快快在網頁輸入助記詞/私鑰(千萬不可),黑客會馬上導入你錢包,資產清零。

受害群體: 這類詐騙顧及面極廣,針對所有活躍於加密社群人士——如追求空投、免費送幣、NFT新項目等。2023年相關吸血鬼詐騙全球爆發,北美、歐洲、亞洲用戶均中招。即使有經驗的用戶,在疲勞或分心下一個失誤亦會上當。值得一提,黑客曾攻陷官方社交帳號(甚至政府、企業Twitter帳號),假冒渠道推廣釣魚網站,令受害者難以防範。請務必對所有“突如其來”的“贈送”保持高度戒心!

**釣魚“吸血鬼”**騙局常冒充知名加密平台,誘用戶主動連接錢包。2023年“Inferno Drainer”假扮Coinbase、WalletConnect等,在逾1.6萬個釣魚網域發動攻擊,透過社交平台誘騙用戶,最終盜走超過8,000萬美元。

如何防止吸血鬼詐騙: 鐵則:從不在官方錢包App外輸入助記詞或私鑰——任何官方活動或客服都不會要求提供。謹慎審核連接新網站/應用時發出的授權請求。若交易要求無限權限或允許花光所有代幣,要特別警惕。盡量手動輸入官網網址或用書籤,切勿隨便點擊社交訊息或陌生連結。瀏覽器/保安App開啟釣魚警告功能。建議定期檢查、撤銷舊錢包授權,以免被舊連結利用。認清一切“突如其來”的致富機會基本屬詐騙——天上不會掉免費錢!

資訊竊取惡意程式:窺探你的錢包私鑰

另一類威脅是專門竊取裝置敏感資料——密碼、私鑰、助記詞等一切可控制資產的資料。這類按“infostealer”或間諜程式分類。在電腦上,RedLine、Raccoon等資訊竊取程式橫行(會竊取瀏覽器密碼、錢包檔案等)。如今,這些招數亦已蔓延到智能手機。

現代流動型資訊竊取程式手段更進一步。某近期 campaign uncovered in late 2024 – nicknamed SparkCat – managed to sneak malicious code into apps on both Google Play and Apple’s App Store.
2024年尾曝光嘅一宗行動——代號SparkCat——成功將惡意程式碼潛入咗Google Play同Apple App Store上面嘅應用程式。

This was a game-changer because it was the first time Apple’s iOS App Store was found hosting a crypto-stealing malware.
呢件事係一個大突破,因為呢次係第一次喺Apple嘅iOS App Store上面發現有竊取加密貨幣嘅惡意程式。

The attackers achieved this by inserting a malicious software development kit (SDK) into seemingly normal apps (including a food delivery app with over 10,000 downloads on Google Play).
攻擊者利用咗一個惡意軟件開發套件(SDK),將佢加插入一啲表面上好正常嘅應用程式(包括一款喺Google Play有超過一萬次下載嘅外賣App)。

Once on a device, the hidden code would quietly search the user’s files for any clues to crypto wallets.
一旦裝咗落手機,隱藏嘅惡意程式就會靜靜地喺用戶檔案度搵加密貨幣錢包有關嘅資訊。

In fact, it used OCR (optical character recognition) technology – essentially reading text from images – to scan through screenshots and photos in the phone’s gallery, looking for images of recovery seed phrases or private keys.
佢仲用咗OCR(光學文字識別)技術——基本上就係由相片讀文字——去掃描手機相簿入面嘅截圖同照片,搵有冇種子詞語(recovery seed phrases)或者私鑰等敏感資料。

Many people, unfortunately, take screenshots of their wallet’s 12- or 24-word recovery phrase or save them as photos; SparkCat was designed to find those and send them to the attackers’ server.
好可惜,好多人會幫自己個12字或24字錢包恢復詞語截圖,或者直接儲為相片;SparkCat就專門搵呢啲相,然後將佢哋傳返去攻擊者嘅伺服器。

With a stolen recovery phrase, criminals can instantly recreate your wallet and drain it.
一旦賊人攞到你個恢復種子詞語,就可以即時複製你個錢包,將入面成副身家清晒。

And SparkCat is not an isolated case.
而SparkCat其實並非單一事件。

Earlier, in 2023, another malware was found in modified messaging apps that similarly scanned chat images for wallet backup phrases.
早喺2023年,已經有另一種似類似惡意程式出現,潛藏喺某啲改裝版通訊App入面,同樣會掃描對話相片搵返錢包備份詞語。

Meanwhile, the trojanized WhatsApp/Telegram apps we mentioned in the clipper section not only altered addresses but also harvested all images and messages from the device (again to sniff out private keys or seed phrases).
另外,我哋頭先講過嘅改裝版WhatsApp/Telegram(即剪貼簿木馬)唔單止會篡改地址,仲會搜集手機入面嘅所有圖片同訊息,目的都係為咗搵私鑰或者種子詞語。

Clearly, hackers are deploying multiple methods to spy on anything that could unlock your crypto.
好明顯,黑客而家用好多招數去監視任何有機會開到你加密貨幣錢包嘅資料。

How They Infect Devices: Infostealers often hide inside apps that appear benign.
入侵方式:好多資訊竊取程式(infostealers)都會潛藏喺表面好正常嘅App入面。

They can be fake utility apps, wallet management tools, or completely unrelated apps (like the food delivery app example) that manage to pass official app store reviews.
佢哋可以假扮成實用工具、錢包管理工具,甚至同加密貨幣完全無關嘅App(好似頭先講個外賣App),都有機會通過官方App Store審查溜入。

Sometimes, they spread via third-party app stores or pirated apps.
有時,佢哋會喺第三方應用程式商店或者盜版App流傳。

In the case of SparkCat, the malicious SDK was in some apps on official stores – those were quickly removed once discovered in early 2025.
好似SparkCat咁,佢啲惡意SDK真係潛入咗官方App Store啲App裡面——2025年頭一發現就即刻全部下架。

But the mere fact they got through shows that even iOS users must remain cautious about what they install.
但事實證明,就算用iOS都要小心自己裝咩App。

On Android, the openness of the platform means if you sideload an app (installing from APK), you bypass even Google’s protections – many Android infostealers circulate on forums and dodgy download sites.
至於Android,由於系統開放,如果你手動安裝APK,連Google基本保護都冇埋——好多Android版資訊竊取App都係喺論壇或者可疑網站流傳。

Symptoms and Consequences: One tricky aspect is that pure infostealer malware might not show obvious symptoms to the user.
徵狀同後果: 其實最麻煩係,有啲純竊取資料嘅惡意程式可以完全唔會有咩異常反應。

It may run quietly when you launch the host app or in the background, then relay data out over the internet.
佢只會喺你開App時或者幕後靜悄悄運作,然後偷偷將資料送出去。

However, there are a few indirect signs: your phone might experience unusual battery drain or data usage, or you might notice the device heating up or slowing down for no clear reason – these can hint that some app is doing more than it should.
不過,都有啲間接嘅提示,例如手機電池咩特別原因都冇就會勁快耗盡、數據用量怪怪地暴增,又或者部機無啦啦發熱或變慢——都可以懷疑係有啲App做緊多過本身應該做嘅嘢。

(Keep in mind, these symptoms could be caused by any number of things, so they’re just hints to investigate further.)
(不過要留意,呢啲現象都可以有好多其他原因,所以都係啲參考,唔等於一定中招。)

If an infostealer succeeds, the first “symptom” could be something external – for example, you discover unauthorized transactions from your exchange account, or your wallet is mysteriously emptied.
通常如果真係中咗招,最明顯嘅“徵狀”未必出自部機,而係你突然發現有非法交易,或者電子錢包神秘清空。

By then, the damage is done.
去到呢一步,已經做咗破壞,補救都難。

Who’s at Risk: Anyone who stores sensitive crypto info on their phone (or in cloud apps accessible via phone) can be a target.
邊類人最危險: 任何將加密貨幣敏感資料擺部電話(或用部電話睇雲端資料)都係目標。

This includes having screenshots of seed phrases, private keys in a notes app, or even authentication credentials cached in apps.
例如錢包種子詞截圖、喺記事簿入面儲私鑰,甚至一啲App內有登入認證資料等。

Crypto enthusiasts who try out lots of new apps or use Android devices with less restrictions have a higher exposure.
成日玩新App或者用開限制較少嘅Android機嘅加密幣用家,風險更高。

Also, people who use jailbroken iPhones or rooted Androids (which disable some security sandboxing) are at greater risk, as malware can more easily access other app data in those environments.
另外,用開越獄iPhone或者Root咗Android機(禁咗部份安全隔離功能)嘅人,風險再上一層樓,因為惡意程式可以容易好多讀到其他App資料。

Geographically, we see infostealers being a global threat: for instance, the SparkCat-infected apps were downloaded hundreds of thousands of times across regions like the Middle East and Southeast Asia, and the preloaded Chinese phones with malware likely affected users in Africa and Asia who bought those devices.
地理上,呢種竊取App已經係全球威脅:好似SparkCat嗰啲感染App,喺中東、東南亞地區被下載過幾十萬次,而有啲帶惡意軟件嘅中國預載手機,更加影響到買機嘅非洲同亞洲用家。

In short, the threat is not limited by borders – wherever there are crypto users, info-stealing malware can follow.
總之,有加密貨幣用戶嘅地方就有啲資料竊取惡意程式跟住嚟。

How to Stay Safe from Infostealers: First, never store your wallet’s recovery phrase or private keys in plain text on your phone.
點樣防範資訊竊取: 首先,千祈唔好將錢包的恢復種子或私鑰,以純文字形式擺手機。

Avoid taking screenshots of them; if you absolutely must have a digital copy, consider using a secure, encrypted password manager – and even then, storing a seed phrase digitally is generally discouraged.
最好都唔好影相截圖,如果真係要有數碼備份,建議用安全加密密碼管理工具——不過,都唔建議將種子詞語數碼化保存。

It’s far safer to write it down on paper and keep it offline.
最安全都係寫紙留底,離線保管。

Be very selective about the apps you install. Stick to official app stores when possible, but also realize that not every app in the Play Store or App Store is trustworthy – check the developer’s reputation and reviews.
安裝App要揀得好嚴謹,建議只用官方應用程式商店,不過都要留意唔係所有官方App都靠得住——記住查下開發者名聲同用戶評價。

Be cautious if an app asks for excessive permissions (e.g. a wallpaper app asking to read your storage or messages).
有啲App問開啟過份權限,例如靚相App都問你要讀取檔案同訊息,咁就要小心。

Keep your phone’s OS and apps updated, as updates often patch security holes that malware can exploit.
記得升級手機系統同Apps,因為更新好多時都會修正啲被惡意程式利用嘅漏洞。

Using mobile antivirus/security apps can help flag known malicious apps or suspicious behavior.
用手機防毒/保安Apps可以幫你偵測已知惡意App或可疑活動。

Finally, monitor your accounts and wallets – set up alerts for transactions if possible, so you get early warning of any unauthorized activity.
最緊要定期查核自己個錢包戶口,建議Enable交易提示功能,等有異常即刻知。

Fake Crypto Apps and Trojan Wallets: Scams Disguised as Legitimate Platforms

假加密幣App同木馬錢包:扮正規平台嘅詐騙陷阱

Not all threats rely on hidden malware; some are outright scam apps that openly trick victims into handing over money.
唔係所有威脅都係靠隱藏惡意程式,有啲係公開行騙嘅假App,直接呃你錢。

We’re talking about fake crypto wallet apps, bogus investment platforms, and trojanized versions of legitimate apps.
例如假加密貨幣錢包App、虛假投資平台、或包裝過嘅木馬App。

These often play a key role in “pig butchering” scams – where someone you meet online persuades you to install a special crypto trading app and invest money, only for it all to vanish.
呢啲App好多時成為“殺豬盤”主力工具——即係有陌生人喺網上遊說你裝啲特別加密幣投資App落錢,最後錢就全部蒸發晒。

While these apps might not hack your phone in the technical sense, they facilitate theft by deceit, and thus are important to understand in the context of mobile threats.
雖然技術上佢未必直接駭入你部機,但利用欺詐手法偷走資金,所以喺討論手機威脅時都要留意呢類陷阱。

Fake Investment and Wallet Apps (The “Pig Butchering” Tactic)

假投資App與錢包(殺豬盤策略)

Imagine an app that looks like a glossy crypto exchange or wallet, complete with charts and a customer support chat.
你可以想像一個表面好高級、有chart有客服嘅加密貨幣交易所或錢包App。

You deposit your Bitcoin into it, maybe even see your balance and some “profits” on screen.
你會照指示存入比特幣,仲會見到屏幕顯示你戶口有結餘,有所謂“盈利”。

But when you try to withdraw, errors pop up – support goes silent – and you realize the app isn’t real.
但到你想提錢時,就開始彈error,客服都唔覆你,你先發現原來成個App都係假。

Unfortunately, this is a common scenario in pig butchering schemes.
大部份殺豬盤,情況就係咁。

Scammers build fraudulent crypto apps that are not linked to any legitimate company.
騙徒會整個未經認證、唔屬於任何正規公司的假加密幣App。

Often, they are distributed outside official app stores (for example, via TestFlight links on iOS or direct APK downloads on Android) to bypass rigorous reviews.
佢哋通常唔會喺官方商店出現(例如iOS用TestFlight連結、Android就直接發APK畀你)去避過審查。

The setup usually involves a long con: the scammer befriends the victim (through dating sites or social media), gains trust, then suggests they “invest” in this great new crypto platform – pointing them to download the fake app.
一般係長線騙局:騙徒先同受害人喺交友或社交App識朋友,套晒信任之後就推介所謂勁正嘅新平台要你落app。

The app might even show fake live market data and let the user withdraw small amounts at first to build trust.
有啲假app仲會show假市況數據,初頭容許你少少提款打一份信心針。

But soon, the victim is encouraged to invest more, sometimes borrowing money, only to have the app operators disappear with all the funds.
然後再鼓勵你落多啲錢甚至叫你借錢,最後錢一齊拎走,成個app營運完全消失。

Real Examples:
真實案例:

The FBI warned in 2023 about scammers abusing Apple’s TestFlight (a platform for beta-testing apps) to distribute malicious crypto apps that weren’t vetted by the App Store.
FBI喺2023年曾經警告,有騙徒濫用Apple TestFlight(試驗app發佈平台)派惡意加密幣App出嚟,避開App Store審查。

Sophos researchers uncovered a campaign called “CryptoRom” targeting iPhone users worldwide: the attackers would get a real app approved on the App Store for TestFlight, then after approval, they’d update it to a malicious version or redirect it to a fake server – effectively sneaking a trojan app onto iPhones under the guise of a beta test.
Sophos研究員揭發咗一個叫“CryptoRom”嘅全球騙案:攻擊者搵啲真App用TestFlight過App Store審查,之後又急急轉為惡意版本或導去假server,呃到好多用戶以為裝緊正規app。

On Android, scammers don’t even need to be that fancy – they can directly send an APK link.
Android就更簡單,直接Send APK就得。

In some cases, fake crypto trading apps have even made it onto Google Play by masquerading as legitimate (using icons/names similar to real exchanges) until they were reported and removed.
有啲假交易App甚至假扮得同真App好似,潛咗入Google Play,只係後來被人舉報先下架。

Who’s at Risk:
邊類人最易中招:

These scams tend to target individuals through romance scams or networking on apps like WhatsApp and WeChat.
呢類騙局多數針對喺WhatsApp、微信等App認識異性或陌生人嘅受害人。

Often, they single out people who may be new to crypto or not extremely tech-savvy – though plenty of tech-aware folks have been fooled too, due to the psychological manipulation involved.
大多針對對加密貨幣唔熟、冇咁識科技嘅人——但有時即使好有經驗都會畀套路呃到。

Victims around the world have fallen prey, from the U.S. to Europe to Asia.
全球各地都有人被呃,無論美國、歐洲、亞洲。

There have been numerous arrests of “pig butchering” rings in Southeast Asia, but the operation is global.
東南亞好多國家都拘捕咗好多殺豬盤詐騙集團,但規模早已全球化。

If a very friendly stranger online is eager to help you get into crypto investing and pushes a specific app, alarms should go off.
一旦有陌生人好熱情咁叫你搞加密幣投資,又推介App就要提高警覺。

Protection Tips:
防騙貼士:

Be extremely wary of unsolicited investment advice or app suggestions, especially from new online acquaintances.
網上認識嘅人話有投資貼士,推介你裝某啲App,一定要小心。

If someone claims huge returns on a special app not available on official stores, it’s almost certainly a scam.
有啲app話有天價回報,仲喺官方商店搵唔到,十居其九都係呃人。

Only use well-known, official crypto exchange apps or mobile wallets – and check that the developer name and company details match the official source.
只用知名、有官方背景嘅交易所/錢包App,查清楚開發者名同公司資料係咪一致。

If you’re on iOS and you’re asked to install an app via TestFlight or an enterprise profile, pause and question why it’s not in the App Store proper.
用iOS萬一有人叫你用TestFlight或企業描述檔裝app,要問下點解唔可以直接喺App Store下載。

(Advanced tip: In iOS Settings > General > VPN & Device Management, you can see if an unknown profile is installed – if so, that’s a potential red flag.)
(高手貼士:iOS設定 > 一般 > VPN與裝置管理,可以查下有冇陌生描述檔,如果有,代表有風險。)

For Android, avoid installing APKs sent via chat or email.
Android千祈唔好亂裝啲朋友send嚟嘅APK檔案。

And remember, if an app looks real but is asking you to deposit crypto before you can do anything, or if it promises unrealistically high returns, it’s likely a scam.
仲有,App睇落再真都好,一見要你落錢先至做任何操作/出現非現實高回報,就要十萬分小心。

Always do a web search on the app name plus the word “scam” to see if others have reported it.
最後記得搜尋App名+“scam”/“詐騙”,睇下有冇人爆料。

Trojanized Legit Apps (Banking Trojans Evolving for Crypto)

包裝木馬App(傳統銀行木馬針對加密貨幣進化版)

Finally, there’s a crossover category: traditional banking trojans that have evolved to target crypto applications.
最後一類較新型嘅混合手法:傳統銀行木馬App進化去專針對加密幣錢包用家。

These are malware apps that might pose as something useful (say, a PDF scanner or a game) but once installed, they use intrusive permissions to monitor your device.
呢類App一開始會偽裝成工具(例如PDF掃描器、遊戲等),但安裝後就會攞啲高權限全時間監控你部機。

When they detect you opening a real banking app or crypto wallet app, they can ...
當佢一發現你打開真嘅銀行App或者加密貨幣App時,就可以...瞬間彈出一個假登入畫面(覆蓋層)來偷取你的認證資料,甚至可以插入自己去截取 SMS 雙重驗證碼。以往像 Anubis、Cerberus 等 Android 銀行木馬搞到銀行戶口損失慘重,而家佢地更加入咗加密貨幣錢包做目標。

最近一個例子係 Crocodilus,一隻喺 2025 年初首次被發現嘅 Android 銀行木馬。最初針對土耳其嘅銀行應用程式,但新版擴展到全球,特別新增咗偷加密錢包資料嘅功能。Crocodilus 會喺合法加密應用程式上面覆蓋假登入畫面(例如你開咗個手機錢包 app,畫面彈出一個同錢包好似嘅登入提示,但實際係木馬想釣你嘅 PIN 或密碼)。其中一招更陰濕,Crocodilus 會更改手機聯絡人列表,加啲假嘅「銀行客服」電話號碼,好大機會想呃受害者信以為真,以為接到嘅電話/短訊係銀行發出。最厲害(都係最可怕)係最新「Crocodilus」版本已經全自動偷助記詞:如果錢包 app 顯示恢復短語(例如 setup 時)、或者用戶自己輸入,佢都會識得偵測之後幫攻擊者捉晒啲資料。簡直係銀行+加密全面打劫王。

Crocodilus 主要用啲呃人手法散播,例如 Facebook 廣告推假 app(例:「會員獎賞」app)畀唔同國家嘅用戶。一旦用戶 click 入去下載,木馬就靜靜地穿過啲 Android 安全措施,自行安裝。呢個情況提示我哋,就算係識用科技嘅人都唔係一定冇事——主流平台都會有假廣告 link 去惡意 app,真係防唔到。

邊啲人最高危? 因為呢啲木馬多數要用戶自己安裝啲非官方 app,所以對於會 sideload、又唔理安全警告嘅 Android 用戶風險最高。不過,其實連 Google Play 都不時有木馬 app 偷偷混入(通常只出現一段短時間就被下架)。有大量 Android 用戶同活躍加密社群嘅地區都受到影響;Crocodilus 行動就見於歐洲(波蘭、西班牙)、南美(巴西、阿根廷)、土耳其、印尼、印度同美國 —— 真係全球都有。總之,用 Android 理財/炒幣嘅都要識 overlay 木馬呢招。而 iPhone 用戶呢方面安全啲,因為 iOS 本身 sandboxing 一般唔畀一個 app 喺另一個 app 上畫面覆蓋/capture 畫面內容(除非你部機已 jailbreak)。Apple 官方審查都盡量揪出啲有問題行為。但 iOS 用戶都唔好鬆懈——剛才提過,有其他類型加密馬已經入咗 iOS。

防禦貼士: 防惡意軟件基本建議都啱用:只用官方 app store,就算如此都要小心選擇安裝咩 app。如果一個 app 問你攞啲好大權限,好似 Android 嘅「協助工具」(好多惡意 overlay 同自動點擊就係靠呢招開晒權限)或者其他和功能無關嘅權限,都要格外小心。如果你嘅銀行/錢包 app 突然跳出古怪登入程序,或問你啲未試過問嘅資料,停一停諗清楚——好大機會係木馬 overlay 嚟。Android 用戶建議收窄安全設置(唔好畀手機從未知來源裝 app,除非絕對必要);當然,裝款可信賴安全 app 都可以有時提早發現銀行木馬。

邊啲人最受呢啲威脅影響?

手機加密馬係全球性問題,但唔同平台、地區受害情況有差異:

  • Android 用戶: 因為 Android 生態圈開放,Android 用戶面對大多數流動加密馬風險。Clippers、Infostealers、銀行木馬集中針對 Android,黑客可以較容易呃你裝可疑 app,甚至有啲假手機原生已經有毒。我哋見過針對俄羅斯、東歐(例如假 Tor Browser clipper、廉價 Android 手機)嘅行動。Crocodilus 呢隻病毒就影響土耳其、歐洲、南美等地。亞洲、非洲都出現批量手機 supply-chain 攻擊或者瘋狂 scam app 當道。不過美國、西歐都一啲都唔安全——Inferno Drainer、殺豬盤一樣呃到美國、英國多人,方法多數靠社交工程唔係靠技術漏洞。簡單講,只要用 Android 玩幣都當自己係目標,唔洗理住喺邊。

  • iOS 用戶: iPhone 本身安全架構跟 App Store 比較嚴格,故惡意軟件少咗好多野。不過「少」唔等於「無」。iOS 用戶都試過受社交詐騙對象(好似人哋說服你裝偽造投資 app,用 TestFlight 發 app 畀你)。而 2024 年 App Store 出現 SparkCat 惡意馬一事證明,只要黑客肯狠心都會突破 iOS 沙盒。好彩 Apple 好快下架咗中招 app。一般 iPhone 用戶只要堅持用 App Store、做基本安全措施較安全——但活躍大戶、高價值炒家都要小心(針對釣魚 link、配置檔/Beta App 都唔好亂裝)。

  • 新手或冇乜經驗嘅加密用戶: 好多 scam(假 app、drainer 釣魚、殺豬盤)都專呃啲對幣圈唔熟、初玩或冇咩技術知識嘅人。新手好多時都唔知,冇正規 app 會要求你用 chat 提 seed phrase,或者唔知 blockchain 交易係唔可逆。Scammer 最鍾意扮做「好人」/客服,好似有義氣咁指導新手直踩陷阱。記住:官方錢包同交易所只會有正式支援渠道,唔會叫你亂裝不明 app,一定唔會叫你安裝新 app 參加活動或者解決問題。

  • 高價值目標: 如果你出名持大量幣(例如成日喺社交媒體吹自己有幾多,定係被 on-chain data 指現金鯨),都可能畀黑客定向針對。有案例講黑客會夾住一個人來攻擊——例如 send 量身定制嘅釣魚連結,甚至送一部改裝手機畀你。雖然機會低,但如果你係幣圈達人/大戶,就要另設加強防護(例如專機只玩加密錢包,同時極限鎖死所有功能)。

總結嚟講,由被殺豬盤呃去裝假 app 嘅退休人士,到被假 MetaMask 網站釣魚嘅 DeFi 玩家,再到明明 download「Telegram」其實中木馬嘅普通 Android 用戶,全都唔能掉以輕心。

不同惡意軟件類型比較:徵狀、傳播途徑同保護建議 想有效保障自己加密資產,首先要明白並分清楚主要流動惡意軟件類型 —— clipper 馬、crypto drainer、infostealer 木馬、假加密 app、overlay 銀行木馬。每種有唔同徵狀、傳播法,需要針對性防範。

Clipper 馬會偷偷將你 copy 咗嘅加密錢包地址換成攻擊者嘅,通常經非官方 app、APK 包,甚至原裝有毒嘅假或被入侵手機散播。佢唔聲唔響地下手,好多時直到你錢去咗攻擊者先知中招。保護方法係每次轉帳 double check 地址、只用官方渠道安裝 app、同用手機防毒 app 偵測已知威脅。

Crypto drainer 包括釣魚網站同「Drainer-as-a-Service」服務,用呃人方法令受害人自己爆私鑰或確認假交易。經常由釣魚連結(例如社交平台、email、訊息 app)傳播,最常扮成什麼 Coinbase、MetaMask 咁的真 service。手機未必睇得出有異樣,但比人盜幣就一定醒覺。防護最大關鍵係保持警覺——Seed phrase 永遠唔好離開官方錢包 app,只經官方 app 用戶輸入、時刻留意網址、有啲唔明送幣活動唔好信、定期撤回唔用嘅去中心化 app 權限。

Infostealer 木馬盤算暗地裡 extract 你部機敏感資料 —— 密碼、助記詞、recovery info 嘅截圖。一般藏喺啲睇似合規嘅 app 入面,有時連官方 app store 都會有漏網之魚,檢測難度高,徵狀可能只係輕微電池耗電快或部機慢咗。最有效預防措施係主動做:唔好喺電話入面存 seed 或私鑰、唔好存 screenshots、有咩 app 都要格外審查再裝、對任何請求大權限嘅 app 特別警覺。

假加密錢包/投資 app,就係直接呃你入錢去假平台,多數連串社交工程詐騙(殺豬盤)一部分。呢啲 app 會造假資產及利潤畫面,到最後唔畀你 withdraw。佢地鍾意直接發連結、用 social message、甚至用 Apple TestFlight 幫你 sideload。重點係唔好用來源可疑嘅 app,只用大平台官方錢包、聽到高回報唔好亂信、陌生人推新 app 識拒絕。

最後,銀行同錢包木馬覆蓋層:用假登入畫面直接釣取真銀行或 crypto app 嘅認證資訊。傳播方式……deceptive links、SMS phishing、rogue social media ads 或 sideloaded APK files,這類木馬程式通常會彈出突如其來或陌生的登入請求。小心提防,包括拒絕應用程式要求無關緊要的權限(如輔助功能或裝置管理員)、質疑任何不尋常的程式行為,以及確保你的手機系統軟件長期維持最新。

How to Protect Yourself and Your Crypto Assets

我哋講咗好多令人擔心嘅情景,不過好消息係,只要遵守啲簡單做法,其實可以大幅降低風險。以下係一份精簡實用嘅行動清單,助你遠離手機加密貨幣惡意程式嘅威脅:

  • 只用官方App並保持更新: 只從Google Play Store或Apple App Store 下載錢包App、交易所或買賣App。即使喺官方商店,都要再核對清楚(檢查開發者名稱、睇用戶評價)。確保呢啲App——連埋你部手機個系統——都保持更新,咁就有最新安全修補。

  • 避免Sideload同不明連結: 喺Android裝機上Sideload(從官方商店以外安裝App)風險好高。除非萬不得已儘量避免。對於電郵、社交媒體或即時通訊App收到嘅連結要非常小心,特別係聲稱有快錢搵或急切要求。唔肯定就千祈唔好亂撳。如要用加密貨幣服務,建議自己輸入網址或者用可靠書籤直接前往。

  • 永遠唔好分享你個Seed Phrase: 你的Recovery Seed Phrase(嗰12個或24個錢包字組)就如你持有嘅城堡大門鎖匙。正規客服或者App絕不會主動問你攞,除非你自己想復原錢包。當佢係最機密密碼咁對待。如果有任何App、網站、甚至人要攞,一律當詐騙拒絕。

  • 所有操作再三核實: 做加密貨幣交易時,養成Double或Triple Check嘅習慣。地址要核對頭4-6同尾4-6個字元,確認同收款人一致。確認交易細節(金額、資產類型)再批核。可以防止剪貼板木馬,亦減少人為錯誤。其實Binance安全團隊建議你發送地址前截圖,再用其他渠道和收款人核實——日常未必咁麻煩,但突顯埋單前一絲不苟嘅重要性。

  • 留意裝置異常: 注意你部手機。如突然出現你冇安裝過嘅App、或部機持續發熱/慢咗,要查清楚。呢啲好可能係隱藏惡意程式。又例如手機瀏覽器亂Redirect、爆彈窗,都唔好忽視。即刻卸載可疑App,可以考慮用手機防毒掃一掃。Android可去設定 > 應用程式,檢查已裝App,如見唔識又有大權限果啲,即屬危險信號。

  • 保障你的通訊安全: 有啲惡意程式會攔截SMS(用嚟接收2FA Code)或即時通訊App訊息(如WhatsApp/Telegram,見過預載木馬案例)。如有可能,2FA建議用App Authenticator(如Google Authenticator、Authy等)或硬件Token,唔好用SMS。咁可以減低SIM Swapping及拎SMS靜碼嘅風險。亦要小心在線通訊分享乜——例如唔好用Chat發你嘅私匙或登入密碼畀人。

  • 多存大量資產請用硬件錢包: 如果你長期持有大量加密資產,最好改用硬件錢包(Ledger或Trezor等)儲存。呢類裝置可將私匙鎖離手機/電腦,所有交易必須在裝置上手動批核。即使你手機中咗毒,駭客都直接拎唔到你硬件錢包嘅密匙。(購買時必須直接經官方網站,下單避免被調包。)

  • 安全備份你的錢包: 雖然喺保安文章提安全備份好似有啲矛盾,但記得要將Seed Phrase安全離線備份(寫喺紙上或者金屬刻好,妥善存放)。點解係安全貼士?因為萬一中惡意程式全機格式化、或者中勒索軟件被鎖咗機,你要靠Seed Phrase搵返資產。最緊要唔好用手機做數碼備份,建議用防火保險箱或者銀行保險箱保管,千祈唔好放相冊、plaintext Note等Risky地方。

  • 時刻關注同學習新威脅: 加密貨幣世界變化極快,威脅亦係。養成關注可靠加密資安資訊嘅習慣(例如Binance等交易所經常發佈安全警示,網絡保安公司都有相關報告)。知道近排有咩新型詐騙、惡意程式或釣魚手法,有助你一見到就及早防範。亦記得同朋友/家人分享呢啲知識,好多受害者只係因為唔知要避咩。

2025年十大加密貨幣惡意程式威脅

1. SparkCat Infostealer

  • 威脅: 惡意開發套件(SDK)潛伏於官方App Store及Google Play下載App中,利用光學字元識別(OCR)掃描圖片搵加密貨幣Seed Phrase。
  • 防禦: 絕對唔好將Seed Phrase數碼儲存/截圖。建議只用加密密碼管理程式或純離線(紙本)備份。

2. 剪貼板木馬(Clipper Malware)

  • 威脅: 悄悄將剪貼板存放嘅加密貨幣地址換成駭客地址,令人不知不覺將資產打去賊手手中。
  • 防禦: 稍作貼上都要核對頭尾字符。切勿從非官方來源安裝App,同時維持防毒/保安軟件為最新。

3. Inferno Drainer(Drain-as-a-Service)

  • 威脅: 透過數千個假冒網站釣魚假扮信譽良好平台,一旦錢包連接就閃電洗走資產。
  • 防禦: 絕不在網站輸入私匙/Seed Phrase;小心核對網址;定期撤銷錢包未用授權。

4. Crocodilus 銀行木馬

  • 威脅: Android惡意程式利用仿真登入頁,套取加密錢包及銀行App密碼、私匙,甚至2FA認證碼。
  • 防禦: 拒絕可疑App權限(特別係輔助功能);核實不尋常登入;保持裝置完全更新。

5. CryptoRom(假投資App)

  • 威脅: 假冒投資App經Apple TestFlight及APK下載傳播,屬「殺豬盤」戀愛詐騙圈套。
  • 防禦: 僅從官方應用程式商店下載;唔好收陌生人網上投資邀請;對高回報承諾抱懷疑。

6. 木馬化WhatsApp及Telegram App

  • 威脅: 修改版即時通訊App內預載木馬,可偷取錢包地址、訊息、Seed Phrase。
  • 防禦: 只用官方認證App及信譽來源;切勿Sideload熱門App。

7. 惡意QR Code App

  • 威脅: 假冒QR掃描器暗地轉移加密交易至駭客錢包,Android特別受影響。
  • 防禦: 優先用手機原生QR掃描;掃完QR記得核對地址;發現可疑App即刻刪除。

8. SIM Swap加強型惡意程式

  • 威脅: 攔截被感染裝置SMS Steal 2FA Code,助攻SIM卡調換攻擊。
  • 防禦: 改用App/硬件2FA取代SMS;定期檢查手機資安設定及可疑SIM異常。

9. NFT發行及Airdrop詐騙

  • 威脅: 透過社交媒體散播帶毒惡意連結,聲稱提供NFT發售或空投,實為套資產圈套。
  • 防禦: 收到NFT或Crypto邀請要高度警覺;未確定服務時,別隨便連結錢包到陌生網站。

10. 偽冒加密錢包瀏覽器擴充功能

  • 威脅: 假冒主流錢包的瀏覽器插件,從用家網絡互動中偷取Seed Phrase及私匙。
  • 防禦: 僅從官方網站安裝插件;定期清查插件名單;開啟資安監控工具。
免責聲明及風險提示: 本文資訊僅供教育與參考之用,並基於作者意見,並不構成金融、投資、法律或稅務建議。 加密貨幣資產具高度波動性並伴隨高風險,可能導致投資大幅虧損或全部損失,並非適合所有投資者。 文章內容僅代表作者觀點,不代表 Yellow、創辦人或管理層立場。 投資前請務必自行徹底研究(D.Y.O.R.),並諮詢持牌金融專業人士。