2025 年十大加密恶意软件威胁：如何保护您的移动钱包

加密货币用户越来越依赖智能手机来管理其数字资产——从移动钱包到交易应用程序。不幸的是，网络罪犯对此早已注意到。[一波移动恶意软件通过恶意应用程序和骗局在 Android 和 iOS 上针对加密爱好者。

在本文中，我们将用简单语言分解最普遍和最近的威胁——剪贴板恶意软件、“窃取即服务”计划、信息窃取间谍软件、假钱包应用程序等等。我们将解释每种类型的工作原理、谁最有风险，以及（最重要的是）如何保护您的加密储蓄。

剪贴板恶意软件：劫持您的加密交易

最狡猾的威胁之一是剪贴板恶意软件——一种劫持您剪贴板以窃取加密货币的恶意软件。当您复制加密货币钱包地址（一个由字母/数字组成的长字符串）并粘贴以发送资金时，剪贴板会悄悄地将其交换为攻击者的地址。如果您没有注意到这一变化，您会不知不觉地将比特币、以太坊或其他硬币直接发送给小偷。该恶意软件本质上“剪辑”和更改了您设备剪贴板中的数据——因此得名。

工作原理： 剪贴板通常在您的手机或 PC 上后台运行，监控任何看似加密地址的内容。一旦您复制一个，恶意软件用攻击者拥有的相似地址替换它。这次交换很容易被忽略——加密地址很长且复杂，大多数人不能记住它们。交易正常进行，但资金流向坏人的钱包。当受害者意识到有什么问题时，加密货币已经不见了（而加密交易是不可逆的）。

手机如何感染剪贴板： 这些恶意软件通常通过非官方应用程序和下载传播。币安（一个主要的加密交易所）在 2024 年警告称，剪贴板恶意软件正在通过可疑的移动应用程序和浏览器插件分发，尤其是在 Android 上。无需使用官方应用商店，由于地区限制无法使用官方应用商店的用户，有时会从第三方网站安装应用程序——这是剪贴板进入的常见途径。（由于苹果的更严格的应用生态系统，iPhone/iOS 用户较少受到剪贴板的攻击，但他们也并非完全免疫。）在最近的一例中，某些中国制造商生产的廉价 Android 手机预装了带有剪贴板恶意软件的木马化 WhatsApp 和 Telegram 应用。这一供应链攻击意味着手机一开箱就已经被感染——那些假 WhatsApp/Telegram 应用中的恶意软件在聊天消息中查找加密地址，并用攻击者的地址替换这些地址。

现实影响： 剪贴板劫持已经存在多年（早期版本针对银行账户号码），但随着加密货币的兴起，它已迅速增加。在一次活动中，52 个国家的 15,000 多名用户被隐藏在虚假 Tor 浏览器下载中的剪贴板袭击，在几个月的时间里被窃取了至少 400,000 美元。安全研究人员指出，剪贴板恶意软件尤其狡猾，因为它通常在没有明显症状的情况下静默操作——它不需要与服务器通信或显示弹出窗口就可以进行其肮脏的工作。它可以在设备上安静地待上几个月，直到用户最终复制一个加密地址。

谁有风险： 从受感染设备发送加密货币的任何人都有风险，但剪贴板尤以从非官方来源安装应用程序的用户为目标。访问官方应用商店或合法加密应用程序受限的地区（引发克隆或修改版本的使用）感染率更高。例如，2024 年 8 月下旬，全球剪贴板事件激增，导致对其取款地址不知情的用户“显著的金融损失”。

如何远离剪贴板： 最好的防御是警惕和验证。始终在确认交易之前仔细检查您粘贴的钱包地址——确保前几位和最后几位字符与您打算使用的地址匹配。如果可能，扫描地址的二维码或使用您钱包应用的共享功能而不是复制粘贴文本。只从可信的官方来源（Google Play、Apple App Store 或项目的官方网站）安装钱包应用程序和加密插件。需极其小心从随机网站下载 APK 文件或点击要求您安装“更新”的奇怪弹出窗口。使用信誉良好的移动安全应用程序也可以帮助捕获已知的剪贴板变种。

“窃取即服务”：窃取您钱包的钓鱼网站

无法检测到用户在打开银行应用程序或加密钱包应用程序时，通过模拟键盘或覆盖界面来窃取登录凭据。此类木马应用程序与假冒加密应用程序不同，因为它们看似无害，而实际上其设计目的是窃取用户的金融信息。

攻击者通常利用社交工程、假冒广告和其他欺骗手段来分发这些应用程序。虽然平台往往努力改进安全措施以检测和删除此类恶意应用程序，但攻击者同样不断更新他们的方法，以绕过安全检查。

如何保护自己: 永远注意安装何种应用程序。在安装前检查其评论、开发者资料以及权限请求。特别警惕要求大量权限的应用程序，尤其是那些与应用功能无关的权限。在可能的情况下，考虑使用双因素认证（2FA）来增强安全措施。

跳过Markdown链接的翻译，以下是文本翻译到中文的版本。请根据格式要求核对和使用。Content: 瞬间弹出假登录界面（覆盖层）以窃取您的凭证，甚至插入自身来捕捉短信2FA代码。历史上，像Anubis、Cerberus这样的Android银行木马通过清空银行账户造成严重破坏。现在，它们正在将加密钱包添加到他们的目标名单中。

Crocodilus是一个近期的例子，这是一种在2025年初首次发现的Android银行木马。起初它瞄准了土耳其的银行应用，但新版扩展到了全球，并特别添加了窃取加密货币钱包数据的功能。Crocodilus可以在合法的加密应用之上覆盖假登录屏幕（例如，当您打开您的移动钱包时，您可能会接到一个看起来像钱包登录，但实际上是恶意软件在钓鱼您的PIN码或密码的提示）。在一种狡猾的转折中，Crocodilus甚至会编辑电话的联系人列表，添加假“银行支持”电话号码，很可能是为了社会工程学地让受害者相信来自攻击者的电话或短信是来自他们的银行。更令人印象深刻（与警惕），Crocodilus的最新变种实现了对助记词的自动盗窃：它可以检测出钱包应用是否显示恢复短语（例如，在设置期间），或许用户输入它，然后捕获该信息供攻击者使用。基本上，它是一个全方位的银行和加密货币窃贼。

Crocodilus通过欺骗性的方法传播，比如在Facebook广告中推广假应用（例如，“忠诚计划”应用）给各国用户。一旦用户点击并下载，木马会悄悄绕过某些Android安全措施并自行安装。这提醒我们，即使是技术熟练的用户也可能被突如其来的攻击击倒——在主流平台上的广告导致恶意软件是一种讨厌的伎俩。

谁有风险： 因为这些木马通常需要用户安装不在官方应用商店上的东西，它们对可能侧载应用或忽视安全警告的Android用户构成最大风险。然而，即使在Google Play上，也有特洛伊木马应用程序溜过（通常是暂时的）案例。在拥有大量Android用户基础和活跃加密社区的地区，这种情况更常见。对于Crocodilus，活动在欧洲部分地区（波兰、西班牙）、南美洲（巴西、阿根廷），以及土耳其、印度尼西亚、印度和美国被记录——真正的全球覆盖。基本上，任何使用Android进行银行业务或加密货币操作的人都应该意识到覆盖木马的存在。iPhone用户在这里会稍微安全一些，因为iOS沙箱通常防止一个应用程序绘制在另一个上面或捕捉屏幕内容（除非设备被越狱）。苹果的审核流程也会努力筛选出此类行为。但iOS用户不应自满——如前所述，其他类型的加密恶意软件已经找到其进入的方式。

保护提示： 建议类似于其他恶意软件：坚持使用官方应用商店，甚至在那时也要仔细检查您安装的内容。如果应用程序要求权限如Android的可访问性服务（这是为了获得全控制权进行覆盖和点击的常见技巧），或其他广泛的权限而与其声称的功能不符，请保持警惕。如果您的银行或钱包应用突然出现不寻常的登录步骤或要求提供以前从未要求的个人信息，请停下来思考——它可能是恶意软件的覆盖层。保持您的Android设备的安全设置紧密（考虑禁用从未知来源安装的能力，除非绝对必要）。当然，拥有良好的安全应用程序有时可以在已知的银行木马造成伤害之前检测到它们。

谁是这些威胁的最大受害者？

通过移动应用的加密货币恶意软件是一个全球性问题，但其流行程度因平台和地区而异：

Android用户： 由于Android的开放生态系统，Android用户面临移动加密恶意软件的主要攻击。剪贴器、信息窃取者和银行木马主要针对Android，在那里攻击者可以更容易地诱骗用户安装虚假应用，甚至在设备上预装它们。我们可以看到针对俄罗斯和东欧用户的活动（例如，假Tor浏览器剪贴器，或流通中的廉价Android手机）。土耳其和欧洲/南美部分地区受到了Crocodilus的攻击。亚洲和非洲的地区也经历了对廉价手机的供应链攻击和猖獗的诈骗应用操作。也就是说，北美和西欧并不是安全的避风港——像Inferno Drainer和pig butchering ring这样的全球骗局通过社会工程学而非技术漏洞在美国、英国等地受害者广泛。基本上，如果您使用Android进行加密操作，请假设您是目标，无论您居住在哪里。
iOS用户： iPhone具有强大的安全模型和苹果公司管理的App Store，意味着恶意软件事件要少得多。然而，“少”并不意味着“没有”。iOS用户一直是社会工程诈骗的目标（例如被说服通过TestFlight安装假投资应用）。另外，2024年App Store应用中发现的SparkCat恶意软件显示出iOS可以被坚定的攻击者攻破。值得注意的是，苹果迅速移除了那些感染的应用。如果平均的iPhone用户坚持使用App Store并实践常见的安全措施，还是相对较安全的——但iOS上的高价值目标或非常活跃的加密交易者仍应保持警惕（特别是针对钓鱼链接或任何建议下载配置文件或beta应用的情况）。
新的和经验较少的加密用户： 很多这些骗局（假应用，漏斗钓鱼，pig butchering）都针对新接触加密货币或对技术不熟悉的人。如果您只使用加密货币一小段时间，您可能还不知道没有合法应用会通过聊天要求您的助记词，或区块链交易是不可逆的。骗子通常冒充“乐于助人”的朋友或支持人员，引导新人直接落入圈套。始终记住：真正的钱包提供商或交易所都有官方支持渠道，绝不会要求您安装随机应用来解决问题或参加促销活动。
高价值目标： 另一方面，如果您被知道持有大量加密资产（例如，如果您在社交媒体上夸耀它或通过链上数据被识别为鲸鱼），您可能会被单独针对恶意软件。已经有黑客专门为个人设计攻击的案例——向他们发送量身定制的钓鱼链接或甚至是受损的设备。这种情况较少见，但如果您是加密领域中的兴趣人物，您应该采取额外的预防措施（也许使用专用设备进行加密，其安全性非常紧密）。

总之，威胁跨越用户人口统计——从被浪漫骗局引导到假应用的退休人员，到被骗入假MetaMask网站的DeFi爱好者，到下载了他们认为是Telegram但实际上是恶意软件的普通Android用户。每个人都应该保持警惕。

比较恶意软件类型：症状、传递和保护为了有效地保护您的加密货币，了解和区分主要的移动恶意软件类型—剪贴恶意软件、加密漏斗、信息窃取木马、假加密应用和覆盖木马。每一种都有不同的症状、传播方式，并需要量身定制的保护措施。

剪贴恶意软件，根据秘密交换您复制的加密钱包地址和攻击者的地址，通常通过非官方应用、APK文件或在假冒或受损设备上预装的恶意软件传播。由于其安静的操作，通常不会有明显的症状，直到您误入歧途把加密资金发送给攻击者的地址。保护自己，需要仔细检查交易期间的地址，通过官方来源严格安装应用，并使用能够检测已知威胁的移动安全应用。

加密漏斗，包括钓鱼网站和“漏斗即服务”平台，诱骗用户直接透露私钥或授权欺诈交易。它们通常通过社交媒体、电子邮件或消息平台上的钓鱼链接分发，通常冒充Coinbase或MetaMask等合法加密服务。虽然很少有设备上的明显症状，但财物损失会迅速表明发生了入侵。保护依赖于警惕—绝不要在官方钱包应用外输入助记词，仔细检查URL，避免未经邀请的加密赠品，并定期撤销未使用的去中心化应用的权限。

信息窃取木马悄悄地从您的设备中提取敏感数据，例如密码、助记词或您的恢复信息的屏幕截图。它们通常嵌入在看似合法的应用中—即便是在官方应用商店中偶尔也会找到—它们可能非常难以检测，有时只是引起电池使用量增加或设备变慢等微妙症状。最好的防御是积极主动：永远不要在手机上数字存储助记词或密钥；避免截图私人信息；彻底审查应用程序安装前，并密切监控异常的应用权限请求。

假加密钱包或投资应用彻底欺骗用户在欺诈平台上存入加密货币，通常是作为复杂的社会工程骗局的一部分，被称为"猪屠宰"。这些应用可能会显示伪造的余额和利润，但最终阻止提款。通常通过直接下载链接、社交信息或Apple TestFlight等平台分发，这些骗局依赖于对个人信任的操作。保护自己，严格使用经过良好测试的官方钱包应用，对高回报承诺持怀疑态度，并避免由陌生人或新网络好友积极推广的应用。

最后，银行和钱包木马部署覆盖—假登录屏幕—直接从合法银行或加密应用中捕获敏感凭证。传播通过欺骗性链接、短信钓鱼、恶意社交媒体广告或侧载APK文件，这些木马通常会提示意外或不熟悉的登录请求。提高警惕包括拒绝应用程序不必要的权限，如辅助功能或设备管理员，质疑任何不寻常的应用行为，并确保手机软件始终保持更新。

如何保护自己和您的加密资产

我们揭示了许多令人恐惧的场景，但好消息是，您可以通过一些简单的做法显著降低风险。这里是一份简明的行动步骤清单，以便在移动设备上远离加密货币恶意软件：

使用官方应用并保持更新：只从Google Play Store或Apple App Store下载钱包应用、交易所或交易应用。即便如此，也要仔细检查该应用是否为正品（检查开发者名称，阅读评论）。保持这些应用及手机操作系统更新以获取最新的安全补丁。
避免侧载和未知链接：在Android上，侧载（从非官方商店安装应用）是主要风险。除非绝对必要，否则应避免。对于通过电子邮件、社交媒体或消息应用发送的链接特别谨慎，尤其是那些提供快速利润或紧急请求的链接。在不确定时，请勿点击。如果需要访问加密服务，请手动导航或通过可信书签导航。
永不分享您的种子短语：您的恢复种子短语（钱包的12或24个字）是进入王国的钥匙。没有合法的支持人员或应用会要求您提供，除非您自己有意恢复钱包。将其视为最敏感的密码。如果任何应用或网站或人向您索要它，请假设这是骗局并拒绝。
仔细检查一切：在进行加密交易时，养成仔细检查细节的习惯。对于地址，查看前4-6个字符和最后4-6个字符，确认它们与预期的接收者匹配。在批准交易前确认交易细节（金额、资产类型）。这有助于防止鼠标指针恶意软件和人为错误。实际上，币安的安全团队甚至建议对您打算发往的地址进行截图，并通过另一个渠道与接收者进行验证——尽管对于日常使用可能过于谨慎，但这强调了在点击“发送”之前确保100%的重要性。
注意设备行为：注意您的手机。如果突然出现您未安装的新应用，或设备持续发热和缓慢，请进行调查。这些可能是隐藏恶意软件的迹象。同样地，如果您的移动浏览器开始异常重定向或出现弹出窗口，不要忽视。卸载任何可疑的应用程序，并考虑进行移动安全扫描。在Android设备上，您还可以转到设置 > 应用程序并查看已安装的应用程序——如果有不熟悉且权限过广的应用程序，那是一个危险信号。
保护您的通信：一些恶意软件会拦截短信（用于2FA代码）或像WhatsApp/Telegram这样的消息应用中的消息（正如我们在预装木马上看到的）。在可能的情况下，使用基于应用的身份验证器（如Google Authenticator, Authy等）或硬件2FA令牌而不是短信进行交易所的双因素身份验证。这可以减少SIM卡交换攻击和短信窃取恶意软件的价值。此外，对于在消息应用中讨论或分享的内容要谨慎——例如，绝不要通过聊天发送您的私钥或登录密码给某人。
使用硬件钱包存储大量资金：如果您长期持有大量加密货币，考虑使用硬件钱包（如Ledger或Trezor设备）进行存储。这些设备将您的密钥保存在手机/电脑之外，交易必须在设备上得到批准。即使您的智能手机感染了恶意软件，黑客也不能直接获取您的硬件钱包密钥。（只需确保直接从制造商处购买硬件钱包以避免篡改。）
安全备份您的钱包：这可能在安全文章中听起来有些矛盾，但请确保您确实有储存在安全地方（离线，纸质或雕刻在金属上的）种子短语备份。为什么这是一项安全提示？因为如果恶意软件清除了您的手机或您因勒索软件攻击而被锁定，您需要能够恢复资金。关键是安全地存放备份——不要在手机上数字化存储。考虑防火保险箱或保险箱，而不是您的相机胶卷或明文笔记。
保持信息灵通和教育水平：加密货币的生态变化迅速，威胁也在不断演变。养成关注可靠的加密安全新闻的习惯（例如，像币安这样的交易所经常发布安全警报，网络安全公司发布报告）。了解最新的骗局——无论是新型的恶意软件还是流行的网络钓鱼手段——都将帮助您在遇到问题时识别出问题所在。把这些知识与涉足加密货币的朋友或家人分享；很多受害者只是因为他们不知道需要注意什么。

2025年十大加密货币恶意软件威胁

1. SparkCat Infostealer

威胁：在官方App Store和Google Play应用中发现的恶意开发工具包，使用光学字符识别（OCR）扫描图片以查找加密种子短语。
保护措施：永远不要将种子短语以数字形式存储或截图。使用加密密码管理器或离线存储（纸质备份）。

2. 剪贴板恶意软件（剪贴板劫持器）

威胁：悄悄将复制到剪贴板的加密地址更换为攻击者的地址，导致用户在不知情的情况下将加密货币发送给窃贼。
保护措施：始终仔细检查粘贴的加密地址（前后字符）。避免安装来自非官方来源的应用，并保持安全软件更新。

3. Inferno Drainer（“流失即服务”）

威胁：通过数千个假域名冒充可信加密平台的钓鱼攻击，一旦连接，迅速耗尽钱包。
保护措施：永远不要在线输入私钥或种子短语；仔细核实网址；定期撤销未使用的钱包权限。

4. Crocodilus银行木马

威胁：Android恶意软件在加密钱包和银行应用上覆盖假登录界面，窃取密码、密钥甚至2FA代码。
保护措施：拒绝可疑应用的权限（尤其是辅助功能服务）；核实不寻常的登录提示；保持设备完全更新。

5. CryptoRom（假投资应用）

威胁：通过Apple TestFlight和APK下载分发的假加密投资应用，通常是“杀猪”式情感诈骗的一部分。
保护措施：严格从官方应用商店下载；避免在线陌生人的投资邀请；始终质疑异常高回报。

6. 特洛伊化的WhatsApp和Telegram应用

威胁：在修改后的消息应用中发现预装恶意软件，从毫无防备的用户处窃取钱包地址、消息和种子短语。
保护措施：仅使用从可信来源正式验证的消息应用；避免侧载流行应用。

7. 恶意QR码应用

威胁：假冒的QR扫描应用悄然将加密交易重定向至攻击者钱包，特别是影响Android设备。
保护措施：使用内置手机QR扫描器；在扫描后验证地址；立即卸载任何可疑应用。

8. 支持SIM交换的恶意软件

威胁：从受感染设备捕获基于短信的双因素身份验证（2FA）代码的恶意软件，促进对加密钱包的SIM卡交换攻击。
保护措施：使用基于应用或硬件的身份验证方法而不是短信；定期检查手机安全设置和异常的SIM活动。

9. NFT铸造和空投诈骗

威胁：通过社交媒体传播的恶意软件和网络钓鱼链接，承诺独家NFT铸造或代币空投，目的是耗尽连接的钱包。
保护措施：对意外的NFT或加密货币优惠保持警惕；未经适当核实，避免将钱包链接到未知或新网站。

10. 恶意加密钱包浏览器扩展

威胁：假冒流行加密钱包的伪造浏览器扩展，从网络交互中盗取钱包密钥和种子短语。
保护措施：仅从官方网站安装钱包扩展；定期审核已安装的浏览器扩展；启用安全监控工具。