2025年十大加密貨幣惡意軟體威脅：如何保護你的行動錢包安全

加密貨幣用戶越來越頻繁地依賴智能手機來管理他們的數位資產，無論是行動錢包還是交易應用。然而，網路犯罪份子也早已虎視眈眈。現今一波針對加密貨幣愛好者的行動惡意軟體浪潮，正在透過危險應用程式與詐騙手法攻擊Android與iOS雙平台。

在本文中，我們將以白話方式解析最常見且最新的威脅：剪貼簿惡意軟體、「Drainer即服務」詐騙、資訊竊取間諜軟體、假錢包App等，以及這些手段如何運作、誰是高風險族群，以及（最重要的是）如何保護你的加密貨幣資產。

剪貼簿惡意軟體：劫持你的加密交易

最狡猾的威脅之一就是「剪貼簿惡意軟體」——這類惡意程式會劫持你的剪貼簿，竊取加密貨幣。當你複製一串加密錢包地址並準備貼上來轉帳時，惡意軟體會在不知不覺間偷偷將它改成攻擊者的地址。你若沒多加察覺，等同於將比特幣、以太幣等直接匯給駭客。這種惡意軟體正是藉由「剪下並更改」你裝置剪貼簿中的數據而得名。

運作方式： 剪貼簿木馬通常在手機或電腦背景執行，持續監控你的剪貼簿是否有像是加密貨幣地址的字串。一旦你複製類似內容，惡意軟體就會將其換成攻擊者控制的近似地址。由於加密錢包地址長又複雜，多數人難以肉眼區別，轉帳流程可能照常發生，但資金實則已被轉走。受害者往往在意識到異常時，資產已無法追回（加密貨幣交易通常不可逆）。

手機感染路徑： 這類惡意軟體常經由非官方App與下載*進入。Binance（幣安）於2024年警告，剪貼簿惡意程式正在透過可疑行動App及瀏覽器擴充外掛程式（特別是Android平台）散播。用戶如因地區限制無法進入官方商店，或搜尋本地語言錢包或加密應用，經常會在第三方網站下載到帶有木馬的App。（蘋果iOS用戶因App生態較為封閉受害機率較低，但並非完全免疫。）近年甚至出現某些中國製廉價Android手機，出廠即內建偽WhatsApp、Telegram應用，裡頭已藏有剪貼簿惡意軟體。這類供應鏈攻擊導致買到手機已經被植入，這些假App還會在聊天訊息裡掃描加密錢包地址並篡改為攻擊者控制的地址。

實際案例： 剪貼簿劫持其實行之有年（早期主要用來盜銀行帳號），但隨加密貨幣興起而大規模蔓延。有一波攻擊利用假Tor瀏覽器下載，讓52國逾15000人感染，短短數月即竊得至少40萬美元。資安研究人員指出，這類惡意軟體往往操作隱密，無需連網、無彈窗，甚至能潛伏數月，只要用戶複製加密貨幣地址即行動。

高風險族群： 只要在被感染裝置上發送加密貨幣都屬高危，但特別是從非官方來源安裝錢包或應用程式的用戶。例如無法以正常管道安裝App的地區或偏好「修改版」App地區，感染率明顯較高。2024年8月末全球出現一波剪貼簿惡意軟體感染高峰，許多用戶因提款地址被偷偷竄改而蒙受「重大經濟損失」。

如何防範： 最好的防線是保持警覺與反覆檢查。每次在交易確認前，務必再次比對錢包地址的首尾幾個字是否與你原本要轉帳的相符。能用錢包App的QR碼、分享功能則盡量避免手動複製貼上。只安裝官方或知名來源（如Google Play、Apple App Store、官網）的錢包App與擴充工具。千萬不要隨意下載APK或點擊陌生「升級」彈窗。選用知名的行動安全App也有助於偵測已知的惡意軟體。

Drainer即服務：引誘你資產的釣魚網站

並非所有加密貨幣攻擊都是在你的手機安裝惡意程式，有時候僅是假冒網站或App誘騙你自行送出加密資產。「Drainer（資產清空器）」本質就是量身打造給加密錢包使用者的網路釣魚。典型的攻擊會仿冒熱門交易所、錢包、NFT市集等服務，誘使你連結錢包或輸入私鑰／助記詞。一旦中招，攻擊者將迅速清空你的錢包資產。

近年這些服務甚至被包裝為「Drainer-as-a-Service（DaaS）」黑產供應網，任何網路罪犯都能用低廉月費租用整套惡意工具包。有名的Inferno Drainer行動在2023年偽裝逾百家合法平台（涵蓋Coinbase、WalletConnect等）並架設16000多個釣魚網域，一年間偷走全球137,000名受害者共超過八千萬美元。幕後犯罪集團像經營公司一樣，提供仿冒網站腳本給他人詐騙，換取分潤。根據報告，犯罪份子僅需花100–300 USDT就能租到這些工具（一兩百美金），而單一詐騙一旦得手就能席捲數千美金。

運作方式： 大多自社交平台如Twitter/X、Telegram、Discord流傳的社交工程為主。攻擊者常以假帳或盜用帳號增加可信度，誘你點擊「免費空投」或「NFT鑄造」、「服務補償」等連結；隨後導向完美仿真的網站（如MetaMask介面、DeFi登入頁），要你連結錢包或輸入助記詞。如果你同意連結錢包，網站可能要求授權不合理權限或簽署有害交易，資產瞬間便被轉出。若你填寫了助記詞或私鑰（切勿於網站填寫！），他們可直接在自己裝置導入你的錢包並迅速清空。

高風險族群： 此類詐騙目標極廣，尤其以參與空投、NFT、追逐高報酬的線上加密族群為主。2023年這種釣魚詐騙在北美、歐洲、亞洲等全球主要市場都出現過。即使資深用戶也可能被極逼真的山寨網站蒙騙，或在一時大意時點擊惡意連結。值得注意的是，連官方頻道也可能遭駭客入侵，例如政府或企業社群帳號發布詐騙連結，使受騙遭竊風險提高。

釣魚型「Drainer」 詐騙常冒充知名加密平台誘使用戶連接錢包。2023年Inferno Drainer詐騙便假冒Coinbase、WalletConnect等，透過超過16,000個網域誘騙受害者，竊走逾八千萬美元資產。

如何防範： 絕不可在錢包官方App以外的地方輸入助記詞或私鑰——任何官方活動或客服都不會開口索取。連線第三方App或網站前，多加提防。若被要求簽署可花費全部資產的合約，必須特別警惕。務必手動輸入官方網址或使用書籤，不要隨意點擊社群私訊連結。在瀏覽器或手機安全App開啟網路釣魚警告。建議定期用Etherscan等工具或錢包App授權清單檢查、收回不必要的舊授權，避免遭有心人利用。簡言之，遇到不尋常出現的「免費錢」機會必須懷疑其真實性——若聽起來好到不像真的，通常就真的是騙局。

資訊竊取惡意軟體：暗中監控你的錢包私鑰

另一類威脅則專注於從你的裝置竊取敏感資訊——密碼、私鑰、助記詞，凡是能開啟數位資產的資料皆在其列。這類惡意軟體俗稱「資訊竊取器」或間諜軟體。在個人電腦上，RedLine、Raccoon等知名資訊竊取病毒猖獗（能盜走瀏覽器記憶的密碼、錢包檔案等）；同樣的策略現今已在智慧手機蔓延。

現代行動資訊竊取惡意軟體技術已經相當先進。 campaign uncovered in late 2024 – nicknamed SparkCat – managed to sneak malicious code into apps on both Google Play and Apple’s App Store. This was a game-changer because it was the first time Apple’s iOS App Store was found hosting a crypto-stealing malware. The attackers achieved this by inserting a malicious software development kit (SDK) into seemingly normal apps (including a food delivery app with over 10,000 downloads on Google Play). Once on a device, the hidden code would quietly search the user’s files for any clues to crypto wallets. In fact, it used OCR (optical character recognition) technology – essentially reading text from images – to scan through screenshots and photos in the phone’s gallery, looking for images of recovery seed phrases or private keys. Many people, unfortunately, take screenshots of their wallet’s 12- or 24-word recovery phrase or save them as photos; SparkCat was designed to find those and send them to the attackers’ server. With a stolen recovery phrase, criminals can instantly recreate your wallet and drain it.

2024 年底揭發的一項行動——代號 SparkCat——成功將惡意程式碼潛藏進了 Google Play 與 Apple App Store 的應用程式中。這是一個重大轉捩點，因為這是蘋果 iOS App Store 首次被發現存在竊取加密貨幣的惡意軟體。攻擊者利用將惡意軟體開發套件（SDK）植入看似正常的應用程式（包括在 Google Play 上下載量超過一萬次的外送 app）來達到目的。當程式安裝到手機後，隱藏的程式碼會悄悄搜尋使用者檔案，找尋與加密錢包相關的線索。事實上，它運用了 OCR（光學字元辨識）技術——也就是從圖片讀取文字——掃描手機相簿中的螢幕截圖與照片，鎖定含有恢復助記詞或私鑰的圖片。許多人會將錢包的 12 字或 24 字恢復助記詞拍照存檔或截圖留存；SparkCat 就是設計來找出這些內容並上傳至攻擊者的伺服器。有了偷來的助記詞，犯罪者可以立即重建你的錢包並將資產洗劫一空。

And SparkCat is not an isolated case. Earlier, in 2023, another malware was found in modified messaging apps that similarly scanned chat images for wallet backup phrases. Meanwhile, the trojanized WhatsApp/Telegram apps we mentioned in the clipper section not only altered addresses but also harvested all images and messages from the device (again to sniff out private keys or seed phrases). Clearly, hackers are deploying multiple methods to spy on anything that could unlock your crypto.

而 SparkCat 並非個案。更早在 2023 年，就有其他惡意軟體出現在修改過的通訊應用程式中，同樣會掃描聊天圖片尋找錢包備份助記詞。同時，在前面提到的木馬版 WhatsApp/Telegram 應用程式，也不僅會竄改地址，還會蒐集裝置上所有圖片及訊息（同樣是為了找出私鑰或助記詞）。很明顯，駭客正部署多種手法，窺探一切能解鎖你加密資產的線索。

How They Infect Devices: Infostealers often hide inside apps that appear benign. They can be fake utility apps, wallet management tools, or completely unrelated apps (like the food delivery app example) that manage to pass official app store reviews. Sometimes, they spread via third-party app stores or pirated apps. In the case of SparkCat, the malicious SDK was in some apps on official stores – those were quickly removed once discovered in early 2025. But the mere fact they got through shows that even iOS users must remain cautious about what they install. On Android, the openness of the platform means if you sideload an app (installing from APK), you bypass even Google’s protections – many Android infostealers circulate on forums and dodgy download sites.

他們如何感染裝置：資訊竊取者常常隱藏在看似安全的應用程式之中。這些可能是假冒的工具軟體、錢包管理程式，或與加密無關的 app（就像外送 app 的例子），甚至能通過官方商店的審查。有時也會經由第三方應用市集或盜版 app 傳播。在 SparkCat 的案例中，惡意 SDK 混入的是官方商店的部分 app——它們在 2025 年初被發現後很快下架。但能成功進入，代表連 iOS 用戶也必須嚴格審慎挑選安裝項目。在 Android 平台，由於開放性高，若你側載安裝（直接安裝 APK），就連 Google 的保護也無法啟動——大量 Android 資訊竊取程式流通於論壇與不安全的下載網站。

Symptoms and Consequences: One tricky aspect is that pure infostealer malware might not show obvious symptoms to the user. It may run quietly when you launch the host app or in the background, then relay data out over the internet. However, there are a few indirect signs: your phone might experience unusual battery drain or data usage, or you might notice the device heating up or slowing down for no clear reason – these can hint that some app is doing more than it should. (Keep in mind, these symptoms could be caused by any number of things, so they’re just hints to investigate further.) If an infostealer succeeds, the first “symptom” could be something external – for example, you discover unauthorized transactions from your exchange account, or your wallet is mysteriously emptied. By then, the damage is done.

徵兆與後果： 資訊竊取型惡意軟體最棘手的地方在於它們可能不會出現明顯異狀。程式往往在你啟動宿主 app 或於背景時靜悄悄執行，並透過網路傳送資料。然而，還是有一些間接現象可以參考：手機可能會有異常耗電、數據流量暴增，或無明顯原因產生過熱或變慢——這些都可能暗示某個 app 在背後做不該做的事。（注意，這些症狀也可能來自其他因素，只是提示你要進一步檢查。）如果資訊竊取者得手，首個「徵兆」往往是來自外部——例如，你發現自己的交易所帳戶有未授權的轉帳，或錢包莫名其妙被清空。到那時，損失已難挽回。

Who’s at Risk: Anyone who stores sensitive crypto info on their phone (or in cloud apps accessible via phone) can be a target. This includes having screenshots of seed phrases, private keys in a notes app, or even authentication credentials cached in apps. Crypto enthusiasts who try out lots of new apps or use Android devices with less restrictions have a higher exposure. Also, people who use jailbroken iPhones or rooted Androids (which disable some security sandboxing) are at greater risk, as malware can more easily access other app data in those environments. Geographically, we see infostealers being a global threat: for instance, the SparkCat-infected apps were downloaded hundreds of thousands of times across regions like the Middle East and Southeast Asia, and the preloaded Chinese phones with malware likely affected users in Africa and Asia who bought those devices. In short, the threat is not limited by borders – wherever there are crypto users, info-stealing malware can follow.

誰是高風險族群？ 任何將加密貨幣敏感資料儲存在手機上（或可用手機存取的雲端應用）的用戶都是潛在目標。這包括將助記詞截圖存檔、私鑰存於記事本、甚至是憑證暫存於 app 內。經常嘗試新 app 的加密愛好者或使用限制較少的 Android 裝置族群，風險更高。此外，越獄 iPhone 或 root 過 Android 用戶（這樣會關閉部分安全沙箱）同樣有較高風險，因為惡意軟體更能輕易存取其他 app 的資料。就地理分布來看，資訊竊取 app 是全球性威脅：例如 SparkCat 感染的 app 在中東與東南亞被下載數十萬次，中國預載惡意軟體的新手機則影響可能波及非洲和亞洲購機族群。簡而言之，這種威脅不受國界限制——只要有加密用戶，就有資訊竊取軟體出沒。

How to Stay Safe from Infostealers: First, never store your wallet’s recovery phrase or private keys in plain text on your phone. Avoid taking screenshots of them; if you absolutely must have a digital copy, consider using a secure, encrypted password manager – and even then, storing a seed phrase digitally is generally discouraged. It’s far safer to write it down on paper and keep it offline. Be very selective about the apps you install. Stick to official app stores when possible, but also realize that not every app in the Play Store or App Store is trustworthy – check the developer’s reputation and reviews. Be cautious if an app asks for excessive permissions (e.g. a wallpaper app asking to read your storage or messages). Keep your phone’s OS and apps updated, as updates often patch security holes that malware can exploit. Using mobile antivirus/security apps can help flag known malicious apps or suspicious behavior. Finally, monitor your accounts and wallets – set up alerts for transactions if possible, so you get early warning of any unauthorized activity.

如何防範資訊竊取程式：
首先，絕對不要將錢包的恢復助記詞或私鑰以明文形式保存在手機上。避免對它們截圖；若必須另存數位副本，務必使用安全、加密的密碼管理器——但即便如此，助記詞數位化仍非推薦做法。最安全的方式還是手寫紙本並離線保管。選擇安裝 app 時請特別謹慎。盡量只從官方應用商店下載，但應意識到 Play Store 或 App Store 內也不是每個 app 都可信——務必查核開發者聲譽與評價。若有 app 要求過多權限（例如壁紙 app 要存取你的檔案或訊息），請加倍小心。保持手機作業系統與 app 更新，因為很多惡意軟體都利用舊系統漏洞。安裝行動防毒/安全軟體，也有助於偵測已知惡意 app 或可疑行為。最後，請經常監控帳號與錢包——若支援交易通知功能，務必開啟，以便第一時間發現未授權活動。

Fake Crypto Apps and Trojan Wallets: Scams Disguised as Legitimate Platforms

Not all threats rely on hidden malware; some are outright scam apps that openly trick victims into handing over money. We’re talking about fake crypto wallet apps, bogus investment platforms, and trojanized versions of legitimate apps. These often play a key role in “pig butchering” scams – where someone you meet online persuades you to install a special crypto trading app and invest money, only for it all to vanish. While these apps might not hack your phone in the technical sense, they facilitate theft by deceit, and thus are important to understand in the context of mobile threats.

假加密幣軟體與木馬錢包：偽裝成合法平台的詐騙

不是所有威脅都依賴隱藏型惡意軟體；有些是直接的詐騙 app，公開誘導受害者匯款。我們指的是假冒的加密錢包 app、偽投資平台，以及被木馬化的正版軟體。這些假的 app 常扮演「殺豬盤」詐騙的要角——即在網路認識某人，對方說服你安裝特定加密投資 app 並投入資金，最終血本無歸。這類 app 雖未必從技術上駭入你的手機，卻以欺騙手段完成竊取，因此在行動資安主題下也極為重要。

Fake Investment and Wallet Apps (The “Pig Butchering” Tactic)

Imagine an app that looks like a glossy crypto exchange or wallet, complete with charts and a customer support chat. You deposit your Bitcoin into it, maybe even see your balance and some “profits” on screen. But when you try to withdraw, errors pop up – support goes silent – and you realize the app isn’t real. Unfortunately, this is a common scenario in pig butchering schemes. Scammers build fraudulent crypto apps that are not linked to any legitimate company. Often, they are distributed outside official app stores (for example, via TestFlight links on iOS or direct APK downloads on Android) to bypass rigorous reviews. The setup usually involves a long con: the scammer befriends the victim (through dating sites or social media), gains trust, then suggests they “invest” in this great new crypto platform – pointing them to download the fake app. The app might even show fake live market data and let the user withdraw small amounts at first to build trust. But soon, the victim is encouraged to invest more, sometimes borrowing money, only to have the app operators disappear with all the funds.

假投資與錢包 app（「殺豬盤」戰術）

想像有一個 app，看起來像專業的加密交易所或錢包，甚至有圖表和客服對話介面。你把比特幣存進去，畫面上還能看到餘額與「收益」。但要提領時卻一直出現錯誤，客服也突然不回——這才發現整個 app 根本是假的。遺憾的是，這是殺豬盤常見的劇本。詐騙集團自製假的加密 app，與任何合法公司無關。這類詐騙常在官方商店以外流傳（例如 iOS 的 TestFlight 測試連結或 Android 的 APK 直連），避開官方審查。流程往往是詐騙者先在交友軟體、社群交朋友，建立信任後推薦受害者「投資」一個全新加密平台，引導下載假的 app。該 app 甚至會顯示假的即時行情，初期允許你小額提領建立信心。接著誘使受害者愈投愈多，有些人甚至會借錢投進去，最後詐騙集團攜款消失。

Real Examples: The FBI warned in 2023 about scammers abusing Apple’s TestFlight (a platform for beta-testing apps) to distribute malicious crypto apps that weren’t vetted by the App Store. Sophos researchers uncovered a campaign called “CryptoRom” targeting iPhone users worldwide: the attackers would get a real app approved on the App Store for TestFlight, then after approval, they’d update it to a malicious version or redirect it to a fake server – effectively sneaking a trojan app onto iPhones under the guise of a beta test. On Android, scammers don’t even need to be that fancy – they can directly send an APK link. In some cases, fake crypto trading apps have even made it onto Google Play by masquerading as legitimate (using icons/names similar to real exchanges) until they were reported and removed.

真實案例： 2023 年，FBI 曾警告詐騙者濫用 Apple TestFlight（官方 Beta 測試平台）散播未經審查的惡意加密 app。Sophos 資安團隊揭露一項代號「CryptoRom」詐騙行動，專攻全球 iPhone 用戶：攻擊者先申請一個 真正的 app 通過 App Store 的 TestFlight 機制，之後再更新成惡意版，或將流量轉到假伺服器——等於包裝成 Beta 測試偷偷把木馬 app 裝到 iPhone。Android 則更無需複雜包裝，直接發送 APK 連結即可。有些假冒加密投資 app 還會模仿真交易所的名稱、圖示混進 Google Play，直到被檢舉下架。

Who’s at Risk: These scams tend to target individuals through romance scams or networking on apps like WhatsApp and WeChat. Often, they single out people who may be new to crypto or not extremely tech-savvy – though plenty of tech-aware folks have been fooled too, due to the psychological manipulation involved. Victims around the world have fallen prey, from the U.S. to Europe to Asia. There have been numerous arrests of “pig butchering” rings in Southeast Asia, but the operation is global. If a very friendly stranger online is eager to help you get into crypto investing and pushes a specific app, alarms should go off.

風險族群： 這類詐騙通常透過交友軟體、WhatsApp、微信等社群接觸受害者，多半鎖定剛接觸加密貨幣或電腦知識有限者——但其實就連資安意識高的人也可能因被心理操控而中招。全球各地從美國、歐洲到亞洲都有人中獎，東南亞亦多次破獲殺豬盤集團，但這是全球性產業。如果網路上有人極熱心主動推薦你「學投資」並推特定 app，就該提高警覺。

Protection Tips: Be extremely wary of unsolicited investment advice or app suggestions, especially from new online acquaintances. If someone claims huge returns on a special app not available on official stores, it’s almost certainly a scam. Only use well-known, official crypto exchange apps or mobile wallets – and check that the developer name and company details match the official source. If you’re on iOS and you’re asked to install an app via TestFlight or an enterprise profile, pause and question why it’s not in the App Store proper. (Advanced tip: In iOS Settings > General > VPN & Device Management, you can see if an unknown profile is installed – if so, that’s a potential red flag.) For Android, avoid installing APKs sent via chat or email. And remember, if an app looks real but is asking you to deposit crypto before you can do anything, or if it promises unrealistically high returns, it’s likely a scam. Always do a web search on the app name plus the word “scam” to see if others have reported it.

防詐建議： 千萬不要輕信素未謀面、網友的投資建議或 app 推薦。只要有人聲稱有只有他知道、官方市集中找不到的神奇投資 app 且報酬率驚人，十之八九就是詐騙。務必只用知名、官方的交易所 app 或錢包，而且要比對開發者名稱、公司資訊與官網一致。若你用 iOS，遇到對方要求你用 TestFlight 附檔或裝企業描述檔，務必停下來思考：為什麼不直接上 App Store？（進階提醒：可在 iOS 設定>一般>VPN 與裝置管理，檢查有無陌生描述檔，發現有就是危險訊號）Android 用戶，切勿安裝聊天、郵件等發送來的 APK。還有，任何 app 即使看起來像真的，但要求你充值才能操作或承諾不合理高利潤，幾乎肯定是騙局。永遠先網路搜尋 app 名稱＋詐騙關鍵字，確認是否有人中招。

Trojanized Legit Apps (Banking Trojans Evolving for Crypto)

Finally, there’s a crossover category: traditional banking trojans that have evolved to target crypto applications. These are malware apps that might pose as something useful (say, a PDF scanner or a game) but once installed, they use intrusive permissions to monitor your device. When they detect you opening a real banking app or crypto wallet app, they can

木馬版合法 app（傳統銀行木馬轉戰加密應用）

最後介紹一種跨界風險：傳統銀行木馬惡意軟體進化後開始鎖定加密領域。這類惡意 app 往往偽裝成有用的小工具（如 PDF 掃描、遊戲等），但一經安裝，會借過度權限監控你的裝置，只要偵測到你打開真正的銀行 app 或加密錢包 app，它們就能……立即彈出假的登入畫面（覆蓋層）來竊取你的帳號密碼，甚至可以介入以攔截 SMS 雙重驗證碼。過去，像 Anubis、Cerberus 等 Android 銀行木馬曾經造成銀行帳戶被洗劫一空的亂象。現在，它們把加密錢包也納入攻擊目標清單。

一個最近的例子是 Crocodilus，這是一款於 2025 年初首次被發現的 Android 銀行木馬。它最初針對土耳其的銀行 APP，但新版已經擴展到全球，並特別增加了竊取加密貨幣錢包資料的功能。Crocodilus 能在合法的加密 APP 上覆蓋假登入畫面（例如，當你打開手機錢包時，看到的看似錢包登入，其實是惡意程式在釣魚你的 PIN 碼或密碼）。更陰險的是，Crocodilus 甚至會編輯手機聯絡人清單，新增假冒“銀行客服”電話號碼，很可能是為了社交工程，讓受害人相信來電或簡訊真的是銀行發出的。最令人震驚的是，最新的 Crocodilus 版本已經能自動化竊取助記詞：它會偵測錢包 APP 是否出現備份助記詞（如首次設定過程），或使用者主動輸入時，將這些信息偷偷送出給駭客。基本上，這是一種全方位的銀行與加密貨幣竊賊。

Crocodilus 透過如 Facebook 廣告等詐騙方式推廣假 APP（例如“會員積分計畫” APP）給世界各地的用戶。受害者一點擊下載，木馬就會悄悄繞過部分 Android 安全機制自動安裝。這提醒我們，即使是技術玩家也可能中招──主流平台的廣告引流到惡意軟體，真是防不勝防。

風險族群： 由於這類木馬多半需要用戶手動安裝非 Google Play Store 的應用程式，風險最高的是真有可能側載 APP 或無視安全警告的 Android 用戶。不過，即使在 Google Play 上，也曾有特洛伊木馬短暫滲透的案例。Android 市佔率高且加密社群活躍的地區問題尤甚；Crocodilus 活動曾記錄於歐洲（波蘭、西班牙）、南美（巴西、阿根廷）、以及土耳其、印尼、印度、美國──幾乎全球皆受波及。總之，只要你用 Android 進行銀行或幣圈操作，就要警惕覆蓋型木馬。iPhone 用戶這方面安全度高一些，因為 iOS 的沙箱機制通常能阻止 APP 疊加顯示或竊聽螢幕內容（除非已JB）。Apple 也有審查機制杜絕這種行為。但 iOS 用戶也不該過度自滿──如前述，有其他型態的加密貨幣惡意程式會設法滲透。

防護建議： 建議與對抗其它惡意軟體時類似：盡量在官方應用商店下載，一樣要謹慎檢查所裝的應用。如果用戶看到 APP 要求 Android 的 Accessibility Services（常用於取得全權操控與疊加點擊），或要求與表面功能無關的權限要加倍注意。如你的銀行或錢包 APP 突然出現從未見過的異常登入流程或要求輸入以往沒要求過的資料，請三思──很可能是被木馬覆蓋畫面。Android 用戶建議加強安全設定（平時就把安裝未知來源的 APP 選項關閉，除非必要才打開）。當然，一套優良的安全軟體有時可事先攔截已知銀行木馬的安裝。

這些威脅的高風險族群是誰？

透過手機 APP 的加密貨幣惡意軟體已是全球難題，不同平台與地區盛行程度有所差異：

Android 用戶： 因 Android 生態較開放，Android 用戶承受絕大多數行動加密貨幣惡意程式攻擊。Clippers、Infostealer、銀行木馬等，幾乎都針對 Android，用戶更容易被誘導安裝來歷不明的 APP，或乾脆裝在出廠原本就被動過手腳的裝置。許多攻擊主力在俄羅斯、東歐（如假 Tor browser clipper 或山寨 Android 手機）用戶。Crocodilus 也攻擊過土耳其、歐洲/南美。亞洲與非洲則曾爆發預載惡意 APP 的廉價機供應鏈攻擊。即使是北美與西歐也不能掉以輕心──像 Inferno Drainer 全世界騙案、殺豬盤這類更靠社交工程，而非技術入侵，美國、英國用戶皆曾受害。本質上，用 Android 做幣圈就必須視自己為攻擊目標，無論國籍。
iOS 用戶： iPhone 安全設計與嚴格 App Store 篩選，讓惡意 APP 數量少得多。但“少”不代表“沒有”。iOS 也曾出現因社交工程騙局而裝假投資 APP（例如用 TestFlight 分發）。2024 年發現 SparkCat 惡意程式藏於 App Store APP 內，也證明攻擊者有機可乘。Apple 在此情況下迅速移除含毒 APP。若僅用官方 App Store 並有基本警覺，iOS 普通用戶通常安全性較高；但幣圈高資產族或頻繁操作則仍須小心（特別提防釣魚連結與安裝組態描述檔或 beta App 的邀請）。
新手與經驗不足的幣圈用戶： 許多詐騙（假 APP、drainer 釣魚、殺豬盤）專挑對加密貨幣不夠熟的新手。你若剛入圈，可能不知正規 APP 絕不會透過聊天要助記詞、鏈上轉賬不可逆等常識。騙子常裝成“熱心”好友或技術客服把你導入陷阱。務必記住：真實錢包商或交易所皆有官方客服管道，絕不要求你安裝隨機 APP 來解決問題或參加活動。
高價值目標族群： 如果你是大額資產持有者（如社群公開炫耀或被鏈上數據標記為大戶），可能成為針對性惡意程式受害者。實際曾發生駭客專為單一對象量身訂製釣魚連結或夾帶後門設備的例子。比例較低，但只要在幣圈有名氣，建議採額外防護措施（如用一台專用手機只做加密用途且嚴格限制）。

總結來說，這些威脅貫穿所有用戶族群──從退休人士被交友 APP 殺豬盤詐騙下載假 APP，到 DeFi 玩家被假 MetaMask 網站釣魚，到一般 Android 用戶以為裝 Telegram 卻實為木馬，不分年齡或經驗程度，人人都該提高警覺。

惡意程式型態比較：症狀、傳播及防護想確保自身加密貨幣安全，首先要弄清楚常見行動端惡意軟體的幾種主要類型──clipper、drainer、Infostealer 木馬、假幣圈 APP、及覆蓋型特洛伊木馬。這些各有不同的警訊與傳播方式、所以防護著力點也不同。

Clipper 會偷偷將你複製的加密錢包地址換成駭客的，通常透過非官方 APP、APK 或被竄改過的預載軟體潛入假冒或不安全的裝置。由於運作隱蔽，往往等失去資金才發現。你應於轉帳前多次確認錢包地址來源正確，堅持僅從官方來源安裝 APP，並用可識別已知威脅的行動安全軟體做防護。

Crypto drainer（如釣魚網站及 “Drainer-as-a-Service” 平台）誘使用戶主動洩漏私鑰或授權惡意交易。多從社群媒體、電子郵件、即時通訊傳播釣魚連結，常冒充 Coinbase、MetaMask 等知名服務。裝置表面不一定察覺異狀，但財務損失會快速發生。保護之道靠警覺──絕不在非官方 APP 或網站輸入助記詞、細查網站網址、避免參加未經核實的加密空投，定期撤銷沒用的 Dapps 授權。

Infostealer 木馬則潛藏於偽裝正常 APP 裡，暗中提取密碼、助記詞或螢幕截圖等敏感資料。有時就算上架於官方市集間或出現，也不易分辨，可能僅導致耗電異常或速度緩慢等細微異常。最好做法是：切勿將助記詞或私鑰以純數位形式存手機；避免對私密資料截圖；安裝前務必查證 APP 來源，並密切注意 APP 的權限要求。

假加密錢包或投資 APP 則純粹用騙的，往往誘使用戶存入加密貨幣但日後無法提現，多數屬社交工程（即殺豬盤）。這類 APP 會顯示假餘額與假獲利，但關鍵時刻卡住不讓出金。主要靠直接下載連結、即時通訊、Apple TestFlight 等管道傳播，對個人信任操弄極深。堅持只用知名官方 APP、不信高額回報保證、對陌生人甚至新網友積極推銷 APP 都要戒備。

最後，銀行與錢包型木馬會用覆蓋層──假的登入畫面──直接竊取你在正規銀行或加密 APP 輸入的機敏帳號資料。傳播管道…

【原文暫止於此】deceptive links, SMS phishing, rogue social media ads, or sideloaded APK files, these trojans typically prompt unexpected or unfamiliar login requests. Vigilance here includes refusing apps unnecessary permissions like Accessibility or Device Admin, questioning any unusual app behavior, and ensuring your phone’s software remains consistently updated.

惡意連結、簡訊釣魚、假冒社群媒體廣告或是側載的 APK 檔案，這些木馬通常會彈出意外或陌生的登入請求。保持警覺包括：拒絕應用程式索取不必要的權限（如輔助功能或裝置管理員）、對於任何異常的應用行為保持懷疑，以及確保你的手機軟體隨時保持在最新狀態。

How to Protect Yourself and Your Crypto Assets

如何保護自己以及你的加密資產

We’ve highlighted a lot of scary scenarios, but the good news is you can significantly reduce your risk with some straightforward practices. Here is a concise checklist of actionable steps to stay safe from cryptocurrency malware on mobile:

我們已經列舉了許多令人擔憂的情境，但好消息是，只要遵循一些簡單的做法，你就能大幅降低風險。以下是一份重點行動清單，協助你保護行動裝置免於加密貨幣惡意軟體的威脅：

Use Official Apps and Keep Them Updated: Only download wallet apps, exchanges, or trading apps from the Google Play Store or Apple App Store. Even then, double-check that the app is the real deal (check the developer name, read reviews). Keep these apps – and your phone’s operating system – updated to get the latest security patches.
只用官方應用且保持更新： 只從 Google Play 商店或 Apple App Store 下載錢包、交易所或買賣相關的應用程式。即使如此，也務必再三確認該應用是官方正版（檢查開發者名稱、閱讀評論）。經常更新這些應用，以及手機作業系統，以獲得最新的安全修補。
Avoid Sideloading and Unknown Links: Sideloading (installing apps from outside official stores) is a major risk on Android. Unless absolutely necessary, avoid it. Be extremely cautious with links sent via email, social media, or messaging apps, especially those offering quick profits or urgent requests. When in doubt, don’t click. If you need to access a crypto service, navigate there manually or via a trusted bookmark.
避免側載及陌生連結： 側載（即從官方商店以外管道安裝應用）是 Android 平台上的主要風險。除非萬不得已，否則應盡量避免。對於透過電子郵件、社群或即時通訊收到的連結特別留意，尤其是主打快速獲利或緊急要求的連結。有疑慮時請勿點擊；如需使用加密貨幣相關服務，請手動輸入網址或透過受信任的書籤開啟。
Never Share Your Seed Phrase: Your recovery seed phrase (the 12 or 24 words for your wallet) is the keys to the kingdom. No legitimate support person or app will ever ask for it, except when you yourself are intentionally restoring a wallet. Treat it like the most sensitive password imaginable. If any app or website – or person – asks you for it, assume it’s a scam and refuse.
切勿洩漏你的助記詞（種子短語）： 你的錢包助記詞（通常為 12 或 24 個英文單字）就是資產的所有權鑰。無論是官方客服或任何正當應用，都不會主動向你索取（除了你主動要回復錢包時）。請把它當作最敏感的密碼保護。如果有任何應用程式、網站、甚至人員向你索取，請一律視為詐騙並拒絕。
Double-Check Everything: When making crypto transactions, develop a habit of double- or triple-checking details. For addresses, look at the first 4–6 characters and last 4–6 characters and confirm they match the intended recipient. Confirm transaction details (amounts, asset type) before approving. This helps thwart clipper malware and also human mistakes. In fact, Binance’s security team even suggests taking a screenshot of the address you intend to send to and verifying it with the recipient via another channel – while that may be overkill for everyday use, it underscores the importance of being 100% sure before you hit “Send”.
所有細節請多重檢查： 進行加密貨幣交易時，建立反覆檢查的好習慣。地址部分，請比對前後各 4~6 個字元，確認收款人正確。核對交易金額、幣種細節後再進行確認。這樣能防止剪貼簿木馬惡意軟體與人為疏失。事實上，幣安的資安團隊甚至建議你把要發送的地址截圖，並用其他渠道與收款人再次對照——雖然日常不一定要做到這麼徹底，但這也強調點擊「發送」前務必百分之百確定正確。
Be Alert to Device Behavior: Pay attention to your phone. If you suddenly see new apps you didn’t install, or your device is persistently hot and slow, investigate. These can be signs of hidden malware. Similarly, if your mobile browser starts redirecting oddly or you see pop-ups, don’t ignore it. Uninstall any suspicious apps and consider running a mobile security scan. On Android, you can also go to Settings > Apps and review installed apps – if something unfamiliar with broad permissions is there, that’s a red flag.
注意裝置異常行為： 多留意你的手機狀態。如果你發現突然出現未曾安裝的新應用、或是手機持續發熱、變慢，都要提高警覺，這可能是潛藏惡意程式。同樣地，若瀏覽器開始出現奇怪導向或彈跳視窗，也不要忽略。請即刻移除可疑應用，並考慮運行手機安全掃描。在 Android 上，也可進入「設定」>「應用程式」檢查所有已安裝應用，若發現陌生且權限很多的程式，就是警訊。
Secure Your Communications: Some malware intercepts SMS messages (for 2FA codes) or messages in apps like WhatsApp/Telegram (as we saw with the pre-loaded trojan). Where possible, use app-based authenticators (Google Authenticator, Authy, etc.) or hardware 2FA tokens instead of SMS for two-factor authentication on exchanges. This reduces the value of SIM-swap attacks and SMS-stealing malware. Also, be cautious about what you discuss or share in messaging apps – e.g., never send someone your private keys or login passwords via chat.
保障你的通訊安全： 有些惡意程式會攔截簡訊（用來取得 2FA 驗證碼）或 WhatsApp、Telegram 等應用內的訊息（如前述預載木馬）。如有可能，請以應用程式型認證器（如 Google Authenticator、Authy）或硬體型二階段驗證工具，取代簡訊驗證碼，來強化加密貨幣平台登入安全。這樣能減少 SIM 卡綁架與簡訊竊聽相關惡意軟體的威力。同時，請勿在通訊軟體內討論或發送私鑰、登入密碼等敏感資料。
Use Hardware Wallets for Large Funds: If you hold a significant amount of crypto for the long term, consider using a hardware wallet (like a Ledger or Trezor device) for storage. These devices keep your keys off your phone/computer, and transactions must be approved on the device itself. Even if your smartphone is malware-infected, the hacker can’t directly get your hardware wallet’s keys. (Just be sure to buy hardware wallets directly from the manufacturer to avoid tampering.)
大量資產請用硬體錢包保存： 如果你長期持有大量加密貨幣，建議使用硬體錢包（如 Ledger 或 Trezor）來離線保管。這類裝置會讓你的私鑰完全離開手機/電腦，所有交易都必須在硬體裝置本身確認。即使你的手機不幸中毒，駭客也無法直接竊取硬體錢包的金鑰。（請務必從官方原廠購買，不要買來路不明的硬體，避免被人動手腳。）
Back Up Your Wallet Securely: This might sound counterintuitive in a security article, but make sure you do have a backup of your seed phrase stored safely (offline, on paper or engraved metal, in a secure location). Why is this a security tip? Because if malware wipes out your phone or you get locked out due to a ransomware attack, you want to be able to recover your funds. The key is to store that backup securely – not digitally on the phone. Think fireproof safe or safety deposit box, not your camera roll or a plaintext note.
錢包備份也要用心保管： 這點在資安文章裡或許有點反直覺，但你必須要有你的助記詞備份，並安全（離線）存放好（如紙本、刻在金屬片上並置於安全地點）。為什麼這也是資安提示？因為如果你的手機被惡意軟體破壞或遭到勒索軟體鎖住，你還能恢復資產。重點是，這份備份必須安全隔離存放，絕對不要數位保存於手機內。請考慮防火保險箱或銀行保管箱，而非拍照放相簿或寫在記事本。
Stay Informed and Educated: The crypto landscape evolves quickly, as do the threats. Make it a habit to follow reliable crypto security news (for instance, exchanges like Binance often post security alerts, and cybersecurity firms publish reports). Being aware of the latest scams – whether it’s a new type of malware or a prevalent phishing trick – will help you recognize something’s wrong if you encounter it. Share this knowledge with friends or family who are getting into crypto too; a lot of victims fall simply because they didn’t know what to watch out for.
持續關注最新資訊： 加密貨幣及其威脅發展迅速。養成定期追蹤可靠加密貨幣資安相關消息的習慣（像幣安等交易所常發佈安全警示，資安業者也會公佈相關報告）。掌握最新詐騙型態與惡意軟體，可以讓你第一時間警覺異常情形，也請分享這些知識給身邊有玩加密貨幣的親友，很多人受害只是因為缺乏基本警覺而已。

10 Crypto Malware Threats of 2025

2025 年十大加密貨幣惡意軟體威脅

1. SparkCat Infostealer

1. SparkCat 資訊竊取器

Threat: Malicious SDK found in official App Store and Google Play apps, scanning images for crypto seed phrases using optical character recognition (OCR).
威脅：惡意 SDK 潛藏於官方 App Store 及 Google Play 應用內，利用光學字元辨識（OCR）從圖片中搜尋加密貨幣助記詞。
Protection: Never store seed phrases digitally or take screenshots of them. Use encrypted password managers or offline storage (paper backups).
防護：永遠不要將助記詞數位化存放，勿截圖保存。採用加密密碼管理器或離線備份（如紙本）方式保存。

2. Clipper Malware (Clipboard Hijackers)

2. Clipper 剪貼簿木馬（剪貼簿劫持）

Threat: Silently swaps crypto addresses copied to clipboard with attackers' addresses, causing users to send crypto to thieves unknowingly.
威脅：悄悄將你複製到剪貼簿的加密貨幣地址換成攻擊者的地址，讓你不知不覺將資產發送給駭客。
Protection: Always double-check pasted crypto addresses (first and last characters). Avoid apps from unofficial sources and keep security software updated.
防護：務必重複核對貼上地址的前後數字英文。避免安裝非官方來源的應用程式，並保持資安軟體更新。

3. Inferno Drainer (Drainer-as-a-Service)

3. Inferno Drainer（即服務型資產抽乾器）

Threat: Phishing campaign spoofing trusted crypto platforms via thousands of fake domains, quickly draining wallets once connected.
威脅：仿冒知名平台發動網釣行動，註冊大量假冒網域，一旦錢包連結即迅速抽乾資產。
Protection: Never enter private keys or seed phrases online; verify URLs carefully; regularly revoke unused wallet permissions.
防護：切勿在網頁輸入私鑰或助記詞；務必仔細核對網址；定期取消未使用錢包授權。

4. Crocodilus Banking Trojan

4. Crocodilus 銀行木馬

Threat: Android malware overlaying fake login screens on crypto wallets and banking apps, stealing passwords, keys, and even 2FA codes.
威脅：Android 上的惡意軟體，能在錢包與銀行 app 上疊加假的登入頁，竊取密碼、金鑰，甚至 2FA 驗證碼。
Protection: Refuse suspicious app permissions (especially Accessibility Services); verify unusual login prompts; keep devices fully updated.
防護：拒絕可疑應用程式要求（尤其是「輔助功能」）權限；進行登入時碰到不尋常畫面，一定多加查證；隨時保持裝置和系統更新。

5. CryptoRom (Fake Investment Apps)

5. CryptoRom（偽投資 App）

Threat: Fake crypto investment apps distributed through Apple TestFlight and APK downloads, typically part of "pig butchering" romance scams.
威脅：假冒加密貨幣投資 app 經由 Apple TestFlight 測試通道或 APK 檔案傳播，通常涉及「殺豬盤」式投資詐騙。
Protection: Stick strictly to official app store downloads; avoid investment offers from strangers online; always question unusually high returns.
防護：所有應用程式僅從官方商店安裝；對網路陌生人推薦的投資機會要避而遠之；碰到高報酬請務必提高警覺。

6. Trojanized WhatsApp and Telegram Apps

6. 木馬版 WhatsApp、Telegram 應用

Threat: Pre-installed malware found in modified messaging apps, stealing wallet addresses, messages, and seed phrases from unsuspecting users.
威脅：第三方改裝的即時通訊 app 內置後門，偷取用戶錢包地址、訊息及助記詞。
Protection: Use only officially verified messaging apps from trusted sources; avoid sideloading popular apps.
防護：僅安裝官方原版、來源可信的通訊程式；避免側載這類常用 app。

7. Malicious QR Code Apps

7. 惡意 QR Code 掃描器

Threat: Fake QR scanning apps quietly redirecting crypto transactions to attacker wallets, especially affecting Android devices.
威脅：假冒 QR 掃描 app 偷偷將加密貨幣交易導向駭客地址，Android 裝置特別容易受害。
Protection: Use built-in phone QR scanners; verify addresses after scanning; uninstall any suspicious apps immediately.
防護：請用手機內建掃描功能；掃描後務必再次核對地址；即時移除任何可疑的 app。

8. SIM Swap-Enabled Malware

8. 支援 SIM 轉移攻擊的惡意軟體

Threat: Malware capturing SMS-based two-factor authentication (2FA) codes from infected devices, facilitating SIM swap attacks on crypto wallets.
威脅：惡意軟體可擷取感染裝置上的簡訊雙重驗證碼，輕易發動 SIM 綁架盜走錢包。
Protection: Use app-based or hardware authentication methods rather than SMS; regularly check mobile security settings and unusual SIM activity.
防護：盡量改用 app 或硬體型 2FA，不用簡訊驗證；定期檢查手機帳號設定及 SIM 卡動作異常。

9. NFT Minting and Airdrop Scams

9. NFT 鑄造與空投詐騙

Threat: Malware and phishing links spread via social media, promising exclusive NFT mints or token airdrops, designed to drain connected wallets.
威脅：透過社群平台傳散惡意程式或釣魚連結，諭稱可搶先鑄造 NFT 或參與空投，實則用來盜取錢包資金。
Protection: Be cautious about unexpected NFT or crypto offers; avoid linking your wallet to unknown or new websites without proper verification.
防護：對所有突如其來的 NFT、加密優惠請多疑；未經詳查的網站千萬不要連結你的錢包。

10. Rogue Crypto Wallet Browser Extensions

10. 惡意加密貨幣瀏覽器外掛錢包

Threat: Fake browser extensions masquerading as popular crypto wallets, siphoning wallet keys and seed phrases from web interactions.
威脅：假冒市面主流的錢包擴充功能，藉由網頁互動竊取你的錢包金鑰與助記詞。
Protection: Install wallet extensions strictly from official websites; regularly audit installed browser extensions; enable security monitoring tools.
防護：錢包外掛應僅從官方網站安裝；定期檢查與移除未授權外掛；可啟用瀏覽器安全監控功能加強防護。