2025 年十大加密貨幣惡意軟體威脅：如何保障你的手機錢包安全

加密貨幣用戶越來越依賴智慧型手機來管理數位資產——從行動錢包到交易 App。可惜，網路犯罪份子也已經覬覦這塊市場。一波又一波的行動惡意程式正針對加密愛好者，透過惡意 App 與詐騙攻擊 Android 及 iOS 裝置。

本文將以簡明易懂的方式，解析最普遍且最新的威脅：夾取器（clipper）惡意程式、「抽水即服務」（drainer-as-a-service）詐騙、資料竊取間諜軟體、偽造錢包 App 等。我們將說明各類型惡意軟體如何運作、誰最容易成為受害者，以及（最重要的）你可以如何保護自己的加密資產。

夾取器惡意軟體：攔截你的加密交易

最狡猾的威脅之一就是夾取器惡意軟體——這類惡意軟體會攔截你的剪貼簿，竊取你的加密貨幣。當你複製一組長長的加密貨幣錢包地址，準備發送資金時，夾取器會悄悄將它換成攻擊者的錢包地址。如果沒發現這個變化，你就會不知不覺把比特幣、以太幣等加密貨幣轉進駭客手裡。這種惡意軟體本質上是在「夾取」並竄改裝置剪貼簿的資料，因此得名。

運作方式： 夾取器通常在你手機或電腦的背景執行，監控任何看似加密錢包地址的內容。一旦你複製了類似的字串，惡意程式便會用攻擊者自己的地址置換。這種交換很容易被忽略——加密地址很長、結構複雜，大多數人根本不會記住。交易表面上看一切正常，其實資金早已流入駭客錢包。等受害者發現異常時，資產已經無法追回（因加密貨幣交易不可逆）。

夾取器如何感染手機： 這類惡意軟體多半經由非官方 App 與下載傳播。幣安（Binance）在 2024 年警告：Android 用戶下載來路不明的行動 App 或瀏覽器外掛時，容易成為夾取器的受害者。有些使用者因語言或地區限制無法用官方 App 商店，只能從第三方網站安裝錢包 App 或加密工具——這種來源正是夾取器滲透的常見途徑。（iPhone/iOS 用戶因蘋果生態系較嚴謹，被攻擊機率較低，但仍非完全免疫。）甚至有廉價 Android 手機，在出廠時就預裝夾帶惡意程式的 WhatsApp 與 Telegram，這些假 App 會在聊天訊息裡尋找加密錢包地址並替換，屬於供應鏈攻擊型態，等於新手機一開機就已中毒。

真實衝擊案例： 剪貼簿攔截手法已存在多年（早期多針對銀行帳號），但隨著加密貨幣熱潮而大爆發。曾有一次攻擊行動，15,000 多名來自 52 國的受害者，在下載假 Tor Browser 時遭夾取器暗中植入，幾個月內便造成至少 40 萬美元損失。資安專家指出，夾取器極難察覺，往往於不知不覺間在裝置潛伏數月，一直到你複製錢包地址時才發動攻擊——全程沒有明顯異常警告，也不用向伺服器回報或跳出視窗。

誰是高危族群： 只要你用受感染設備轉帳都可能中招，尤以那些從非官方來源安裝 App 的用戶最危險。某些地區官方商店受限、缺少正規加密 App，激增了感染率。2024 年 8 月底，全球出現一波夾取器攻擊高峰，許多用戶在不知情下資產遭竄改地址而損失慘重。

如何避免夾取器攻擊： 最好策略是提高警覺並再次確認。每次交易前，務必比對所粘貼的錢包地址的開頭與結尾數字是否吻合，必要時掃描錢包 QR 碼或用 App 的分享功能以減少複製貼上。只從官方可信來源（Google Play、Apple App Store 或專案正規網站）安裝錢包 App 與外掛，千萬別從不明網站下載 APK 或安裝來路不明的更新提示訊息。使用可信賴的行動資安 App 也能協助攔截已知惡意夾取器。

「抽水即服務」：騙你主動連接錢包的釣魚網站

並非所有加密貨幣駭客攻擊都需要植入惡意程式，有時僅靠偽裝網站或 App 欺騙用戶主動交出資產。「抽水程式」就是專為加密錢包打造的釣魚詐騙手法。典型的抽水攻擊會誘導你進入仿冒正規加密平台的網站或 App（如虛假的交易所、錢包、NFT 市集等），再引導你連結錢包或輸入私鑰／助記詞。一旦上當，攻擊者就能立即洗劫你的錢包資產。

這類手法近期與網路犯罪組織高度企業化——甚至推出「Drainer-as-a-Service」（DaaS）抽水即服務套件，誰都能低價租用部署。2023 年發生的「Inferno Drainer」大規模詐騙，就仿冒了超過百家加密平台（如 Coinbase、WalletConnect），設置一萬六千多個釣魚網域，一年內竊走超過八千萬美元、受害者達十三萬七千人。主謀不僅提供假網站與腳本模板，還向其他駭客分帳。這種商業化模式大幅降低犯罪門檻——根據一份報告，抽水套件甚至只要 100–300 USDT 就能租用（約幾百美金），但成功一次通常就能詐得數千美元以上。

運作方式： 抽水詐騙開端多是社交工程。攻擊者利用社群媒體（Twitter/X、Telegram、Discord 等）散布釣魚鏈結，常冒用被駭帳號或化身假身分提高信任度。誘餌可能是假裝送免費加密贈品、空投、新 NFT 發售通知、甚至「補償」說辭。這些連結通往仿冒精緻的網站——例如看起來和 MetaMask 或某 DeFi App 登入頁一模一樣的介面，誘導你連接錢包（如 MetaMask、WalletConnect）或直接輸入助記詞。若你允許連接或簽署授權，很可能背後就隱藏了惡意合約，會在不知不覺間把所有資產轉走。若輸入助記詞／私鑰，更是直接把整個錢包交給駭客，分秒內資產就被轉移。

高危族群： 這類詐騙鎖定範圍極廣，尤以熱中空投、追求免費代幣與快速獲利的用戶最常被鎖定（因此誘餌常為贈品、空投專案等）。2023 年時，這類抽水詐騙在全球猖獗，北美、歐洲、亞洲都有大量受害者。即使是資深用戶，只要在一時疏忽或遇到足夠以假亂真的釣魚網站，也會中招。更可怕的是，連官方頻道都可能被駭，例如攻擊者透過入侵名人或官方社群帳號發佈假連結，偽裝得天衣無縫。任何突如其來的「好康」都要警覺！

釣魚型「抽水」 詐騙，經常冒充知名加密貨幣平台誘使用戶主動連結錢包。2023 年 Inferno Drainer 就是透過假冒 Coinbase、WalletConnect 等超過一萬六千個網域，從社群媒體誘騙受害者上鉤，竊走了超過八千萬美元加密資產。

如何防範抽水詐騙： 黃金守則是，絶對不要在官方錢包 App 以外的地方輸入助記詞或私鑰——正規活動或客服絕不會要求掌上明珠。連結新網站或 App 前要高度謹慎，被要求簽署交易或批准 Token 授權時，一定要仔細檢查授權內容（若要求全部 Token 無上限存取權，這就是警訊）。務必使用正確連結——建議手動輸入官網、或用瀏覽器書籤，不要輕信陌生訊息、推特、私訊裡的連結。瀏覽器或資安程式應開啟釣魚網站警告提示。建議定期檢查並解除不再使用的錢包授權（可用 Etherscan 或錢包 App 內建功能），避免久遠授權遭濫用。簡言之，「天上掉下來」的獲利機會要抱持高度懷疑，若太過誘人，很可能是假象。

資料竊取型惡意軟體：竊取你的錢包私鑰

另一類致命威脅，是專門竊取裝置裡敏感資訊（密碼、私鑰、助記詞、通往資產的關鍵資料）的惡意軟體，稱為資訊竊取程式（infostealer）或間諜軟體。在電腦上，RedLine、Raccoon 等惡名昭彰的 infostealer 常見於竊取瀏覽器密碼、錢包檔案等。如今，類似技術已進軍行動裝置。

現代行動資訊竊取軟體愈發精密。某近期 campaign uncovered in late 2024 – nicknamed SparkCat – managed to sneak malicious code into apps on both Google Play and Apple’s App Store. This was a game-changer because it was the first time Apple’s iOS App Store was found hosting a crypto-stealing malware. The attackers achieved this by inserting a malicious software development kit (SDK) into seemingly normal apps (including a food delivery app with over 10,000 downloads on Google Play). Once on a device, the hidden code would quietly search the user’s files for any clues to crypto wallets. In fact, it used OCR (optical character recognition) technology – essentially reading text from images – to scan through screenshots and photos in the phone’s gallery, looking for images of recovery seed phrases or private keys. Many people, unfortunately, take screenshots of their wallet’s 12- or 24-word recovery phrase or save them as photos; SparkCat was designed to find those and send them to the attackers’ server. With a stolen recovery phrase, criminals can instantly recreate your wallet and drain it.

2024年底曝光的一波行動——被稱為SparkCat——成功將惡意程式碼偷偷放進了Google Play和Apple App Store上的應用程式中。這是一個分水嶺，因為這是Apple iOS App Store首次被發現有竊取加密貨幣的惡意軟體。攻擊者是透過將惡意軟體開發工具包（SDK）嵌入看似正常的應用程式中（其中包括一款在Google Play上下載超過一萬次的外送App）來達成這一目標。一旦裝到裝置上，隱藏的程式碼會悄悄搜尋使用者檔案，以找出任何加密貨幣錢包的線索。事實上，它還運用了OCR（光學字符辨識）技術——也就是從圖片中讀取文字——來掃描手機相簿內的螢幕截圖與照片，尋找包含助記詞seed phrase或私鑰private key的圖片。不少人不小心把自己錢包的12或24字助記詞截圖或存成圖片；SparkCat的目的就是找出這些資訊並傳送回攻擊者伺服器。一旦助記詞被竊，犯罪分子就能立即重建你的錢包並把資產清空。

And SparkCat is not an isolated case. Earlier, in 2023, another malware was found in modified messaging apps that similarly scanned chat images for wallet backup phrases. Meanwhile, the trojanized WhatsApp/Telegram apps we mentioned in the clipper section not only altered addresses but also harvested all images and messages from the device (again to sniff out private keys or seed phrases). Clearly, hackers are deploying multiple methods to spy on anything that could unlock your crypto.

而SparkCat並非單一案例。更早之前，2023年也曾在修改版通訊軟體中發現其他惡意程式，同樣會掃描聊天影像以尋找錢包備份助記詞。另外，上文提到的木馬版WhatsApp/Telegram（剪貼簿馬）不僅會竄改加密貨幣地址，還會擷取裝置上的所有圖片與訊息（同樣用來搜尋私鑰或助記詞）。顯然，駭客正透過多種方式來窺探任何能解鎖你加密幣的線索。

How They Infect Devices: Infostealers often hide inside apps that appear benign. They can be fake utility apps, wallet management tools, or completely unrelated apps (like the food delivery app example) that manage to pass official app store reviews. Sometimes, they spread via third-party app stores or pirated apps. In the case of SparkCat, the malicious SDK was in some apps on official stores – those were quickly removed once discovered in early 2025. But the mere fact they got through shows that even iOS users must remain cautious about what they install. On Android, the openness of the platform means if you sideload an app (installing from APK), you bypass even Google’s protections – many Android infostealers circulate on forums and dodgy download sites.

感染裝置的方式：資訊竊取惡意軟體通常藏在乍看無害的應用程式內。這些應用可能是假冒的工具App、錢包管理工具，或像前述外送App一樣完全無關的應用，卻蒙混過官方應用商店審查。有時候，這些軟體會透過第三方應用商店或盜版App傳播。以SparkCat為例，惡意SDK出現在官方商店部分應用中——這些應用在2025年初被發現後很快下架。但他們能通過審查這件事就證明，即使是iOS用戶也不能對安裝的應用掉以輕心。至於Android，平台開放的特性代表只要你從APK檔案側載安裝App，連Google的保護機制都會被繞過——許多Android資訊竊取馬就是這樣在論壇或可疑網站流傳的。

Symptoms and Consequences: One tricky aspect is that pure infostealer malware might not show obvious symptoms to the user. It may run quietly when you launch the host app or in the background, then relay data out over the internet. However, there are a few indirect signs: your phone might experience unusual battery drain or data usage, or you might notice the device heating up or slowing down for no clear reason – these can hint that some app is doing more than it should. (Keep in mind, these symptoms could be caused by any number of things, so they’re just hints to investigate further.) If an infostealer succeeds, the first “symptom” could be something external – for example, you discover unauthorized transactions from your exchange account, or your wallet is mysteriously emptied. By then, the damage is done.

中毒症狀與後果： 這類資訊竊取惡意軟體的棘手之處在於——它們往往沒有明顯異常症狀。通常會在你啟動主程式時悄悄運作，或在背景靜靜執行，接著把資料偷偷送到網路上的遠端伺服器。不過，有些間接徵兆還是可以留意：例如手機電池突然異常消耗、數據流量暴增，或莫名發熱、變慢——這些都可能暗示某個App做了不該做的事。（但要注意，這些徵兆也可能有其他原因，只是個參考提醒。）如果資訊竊取程式成功了，你看到的第一個「症狀」可能反而發生在外部——例如你的交易所帳戶出現未經授權的轉帳、或是錢包莫名歸零，這時候損失已經發生。

Who’s at Risk: Anyone who stores sensitive crypto info on their phone (or in cloud apps accessible via phone) can be a target. This includes having screenshots of seed phrases, private keys in a notes app, or even authentication credentials cached in apps. Crypto enthusiasts who try out lots of new apps or use Android devices with less restrictions have a higher exposure. Also, people who use jailbroken iPhones or rooted Androids (which disable some security sandboxing) are at greater risk, as malware can more easily access other app data in those environments. Geographically, we see infostealers being a global threat: for instance, the SparkCat-infected apps were downloaded hundreds of thousands of times across regions like the Middle East and Southeast Asia, and the preloaded Chinese phones with malware likely affected users in Africa and Asia who bought those devices. In short, the threat is not limited by borders – wherever there are crypto users, info-stealing malware can follow.

誰容易成為受害者： 只要你在手機上儲存過加密貨幣敏感資訊（或雲端App能從手機開啟），就有受攻擊風險。這包括助記詞截圖、記事本裡儲存私鑰，或某些App裡的驗證資訊。喜歡嘗試新App或使用權限較寬鬆Android裝置的加密幣玩家，曝險風險會更高。若用越獄iPhone或Root過的Android（這些行為會停用部分安全沙箱）也非常危險，因為惡意程式可更輕易存取其他App的資料。從地區來看，這類竊資馬已成全球性威脅：以SparkCat為例，感染區域遍及中東、東南亞，下載次數數十萬次，至於預載中國製惡意手機，可能波及非洲、亞洲等購買這些手機的用戶。總之，這不是單一國家的問題——只要有加密用戶的地方，竊資惡意軟體都會跟著來。

How to Stay Safe from Infostealers: First, never store your wallet’s recovery phrase or private keys in plain text on your phone. Avoid taking screenshots of them; if you absolutely must have a digital copy, consider using a secure, encrypted password manager – and even then, storing a seed phrase digitally is generally discouraged. It’s far safer to write it down on paper and keep it offline. Be very selective about the apps you install. Stick to official app stores when possible, but also realize that not every app in the Play Store or App Store is trustworthy – check the developer’s reputation and reviews. Be cautious if an app asks for excessive permissions (e.g. a wallpaper app asking to read your storage or messages). Keep your phone’s OS and apps updated, as updates often patch security holes that malware can exploit. Using mobile antivirus/security apps can help flag known malicious apps or suspicious behavior. Finally, monitor your accounts and wallets – set up alerts for transactions if possible, so you get early warning of any unauthorized activity.

如何防範資訊竊取馬： 首先，絕不要把錢包的助記詞或私鑰以純文字存在手機裡。避免對助記詞截圖留存；若真的必須有數位備份，也請考慮使用安全加密的密碼管理工具——但即便如此，最好還是不要存在數位設備上。最安全的做法是手寫並離線保存。選擇安裝App時要格外謹慎。盡量只從官方應用商店下載，但也要理解Play商店與App Store內不是每個App都值得信任——請檢查開發者名稱與評價。若App要求過多權限（例如桌布App要讀取你的儲存空間或訊息），請多加小心。手機系統與App請隨時保持更新，因為這常會修補可被惡意軟體利用的漏洞。善用行動裝置防毒/安全軟體，可以偵測已知惡意App與可疑行為。最後，請定期檢查帳號與錢包動態——如果可以，開通知功能，遇到非授權轉帳能及早發現。

Fake Crypto Apps and Trojan Wallets: Scams Disguised as Legitimate Platforms

假冒加密貨幣App與木馬錢包：偽裝成正版平台的詐騙陷阱

Not all threats rely on hidden malware; some are outright scam apps that openly trick victims into handing over money. We’re talking about fake crypto wallet apps, bogus investment platforms, and trojanized versions of legitimate apps. These often play a key role in “pig butchering” scams – where someone you meet online persuades you to install a special crypto trading app and invest money, only for it all to vanish. While these apps might not hack your phone in the technical sense, they facilitate theft by deceit, and thus are important to understand in the context of mobile threats.

不是所有威脅都要靠藏起來的惡意軟體，有些詐騙就是公然誘騙受害者交出財物。我們指的是假冒的加密貨幣錢包App、虛假投資平台，以及有內鬼的「木馬」版本App。這類詐騙常成為「殺豬盤」的重要工具——你在網路上認識一個人，對方勸你下載某款專屬加密幣理財App並投資，結果錢全部消失。這類App也許表面上沒搞技術綁架手機，但本質上靠詐術協助竊盜，因此在討論行動端威脅時也很重要。

Fake Investment and Wallet Apps (The “Pig Butchering” Tactic)

假投資與錢包App（殺豬盤套路）

Imagine an app that looks like a glossy crypto exchange or wallet, complete with charts and a customer support chat. You deposit your Bitcoin into it, maybe even see your balance and some “profits” on screen. But when you try to withdraw, errors pop up – support goes silent – and you realize the app isn’t real. Unfortunately, this is a common scenario in pig butchering schemes. Scammers build fraudulent crypto apps that are not linked to any legitimate company. Often, they are distributed outside official app stores (for example, via TestFlight links on iOS or direct APK downloads on Android) to bypass rigorous reviews. The setup usually involves a long con: the scammer befriends the victim (through dating sites or social media), gains trust, then suggests they “invest” in this great new crypto platform – pointing them to download the fake app. The app might even show fake live market data and let the user withdraw small amounts at first to build trust. But soon, the victim is encouraged to invest more, sometimes borrowing money, only to have the app operators disappear with all the funds.

你可以想像一款看起來跟大品牌加密交易所一樣精美的App，附有各種K線與客服聊天室。你把比特幣存進去，螢幕上顯示餘額還有「獲利」。但當你試著提出資金時，慢慢開始出現錯誤訊息、客服聯絡不上，才驚覺根本不是正版App。很遺憾，這正是殺豬盤常見結局。詐騙集團打造的這些加密幣App，背後其實沒有任何合法公司。為了避開官方商店審查，這類App經常以TestFlight（iOS）或APK（Android）直連等方式流傳。操作流程通常是一場長線詐術：詐騙者先用交友或社群軟體交朋友，博取信任後鼓勵受害者「投資」並引導下載假App。App會製造假行情、甚至先讓你小額「成功出金」培養信心，接著引誘你投入更多（甚至去借錢），到最後App營運方直接消失帶走所有資金。

Real Examples: The FBI warned in 2023 about scammers abusing Apple’s TestFlight (a platform for beta-testing apps) to distribute malicious crypto apps that weren’t vetted by the App Store. Sophos researchers uncovered a campaign called “CryptoRom” targeting iPhone users worldwide: the attackers would get a real app approved on the App Store for TestFlight, then after approval, they’d update it to a malicious version or redirect it to a fake server – effectively sneaking a trojan app onto iPhones under the guise of a beta test. On Android, scammers don’t even need to be that fancy – they can directly send an APK link. In some cases, fake crypto trading apps have even made it onto Google Play by masquerading as legitimate (using icons/names similar to real exchanges) until they were reported and removed.

真實案例： 2023年，FBI警告詐騙集團濫用Apple的TestFlight（專供App Beta測試的發放平台）來傳播未經App Store審核的惡意加密幣App。Sophos研究員也揭露一個名為「CryptoRom」的行動：攻擊者先把真App通過TestFlight審查，上架後再改為惡意版本或導向假伺服器——實際上是在假冒測試名義偷偷下木馬進iPhone。Android則更直接，詐騙者發一個APK連結就搞定。有些假加密交易App甚至短暫混進過Google Play，假冒大平台ICON與名稱掩人耳目，直到被人檢舉下架。

Who’s at Risk: These scams tend to target individuals through romance scams or networking on apps like WhatsApp and WeChat. Often, they single out people who may be new to crypto or not extremely tech-savvy – though plenty of tech-aware folks have been fooled too, due to the psychological manipulation involved. Victims around the world have fallen prey, from the U.S. to Europe to Asia. There have been numerous arrests of “pig butchering” rings in Southeast Asia, but the operation is global. If a very friendly stranger online is eager to help you get into crypto investing and pushes a specific app, alarms should go off.

誰容易受害： 這類詐騙常透過交友型App（如WhatsApp、微信）下手，專挑初入門的加密新手或缺乏資安意識者（當然也有不少老手因為心理攻防而中招）。全球各地都有受害者，從美國、歐洲到亞洲都有紀錄，東南亞也抓過多次殺豬盤犯罪集團——但這根本是全球性圈套。如果遇到剛認識的網友極力慫恿你投資加密貨幣且指定某App，那就該警覺了。

Protection Tips: Be extremely wary of unsolicited investment advice or app suggestions, especially from new online acquaintances. If someone claims huge returns on a special app not available on official stores, it’s almost certainly a scam. Only use well-known, official crypto exchange apps or mobile wallets – and check that the developer name and company details match the official source. If you’re on iOS and you’re asked to install an app via TestFlight or an enterprise profile, pause and question why it’s not in the App Store proper. (Advanced tip: In iOS Settings > General > VPN & Device Management, you can see if an unknown profile is installed – if so, that’s a potential red flag.) For Android, avoid installing APKs sent via chat or email. And remember, if an app looks real but is asking you to deposit crypto before you can do anything, or if it promises unrealistically high returns, it’s likely a scam. Always do a web search on the app name plus the word “scam” to see if others have reported it.

防詐建議： 千萬不要輕易相信主動「推薦」的投資App或投資建議，特別是新認識的網友介紹的。如果有人說某App只有內部路徑、官方商店找不到，還保證高額報酬，幾乎肯定是詐騙。只使用知名官方交易所App或行動錢包，並核對開發者名稱、廠商資訊（是否跟官方平台一致）。iOS若讓你用TestFlight或企業設定檔安裝App，要先停下來想想，為什麼不用正式App Store？（進階提醒：可到iOS設定>一般>VPN與裝置管理，檢查有沒有陌生企業設定檔，若有請提高警覺。）Android用戶則避免裝來路不明的APK，尤其是透過聊天或郵件傳來的。如果某App看起來很正常，但必須先存幣才能使用，或承諾不切實際的高獲利，幾乎都該警惕。最後記得上網查詢該App名稱+詐騙，看有沒有其他人回報過受害案例。

Trojanized Legit Apps (Banking Trojans Evolving for Crypto)

正規App變木馬（傳統銀行木馬進化：鎖定加密幣應用）

Finally, there’s a crossover category: traditional banking trojans that have evolved to target crypto applications. These are malware apps that might pose as something useful (say, a PDF scanner or a game) but once installed, they use intrusive permissions to monitor your device. When they detect you opening a real banking app or crypto wallet app, they can

最後，還有一種跨界威脅：那就是傳統銀行木馬進化到專攻加密貨幣App這一塊。這些惡意App可能偽裝成PDF掃描器、遊戲等實用工具，但安裝後會要求大量侵犯性權限，以便監控你的裝置。一旦偵測到你正在開啟真實銀行App或加密錢包App，它們就能——瞬間彈出假的登入畫面（重疊視窗）來竊取你的帳號密碼，甚至可以介入並竊取 SMS 雙重驗證碼。過去，Android 銀行木馬如 Anubis、Cerberus 等臭名昭著，曾經造成大量銀行帳戶被洗劫。而如今，它們已經將目標名單擴展到加密貨幣錢包。

其中一個近期例子是 Crocodilus，這款 Android 銀行木馬在 2025 年初被首次發現。最初專門針對土耳其的銀行應用程式，後來的新版本擴展至全球，並特別新增偷竊加密貨幣錢包資料的功能。Crocodilus 可以在正當加密貨幣錢包 APP 上層製造假的登入介面（例如，你打開行動錢包時，可能看到一個看似官方的登入畫面，但實際上是惡意程式在釣取你的 PIN 或密碼）。更惡劣的是，Crocodilus 甚至會編輯手機聯絡人清單，加入假的「銀行客服」電話，企圖以社交工程引誘受害者相信攻擊者來電或簡訊真的來自銀行。最令人震驚的是，最新版本 Crocodilus 已經能自動竊取助記詞（seed phrase）：它能識別出錢包 App 是否顯示恢復助記詞（例如設定時），或用戶是否輸入過，然後將這些資訊竊取給攻擊者。本質上，這是一個集銀行與加密貨幣偷竊於一身的全方位木馬。

Crocodilus 主要利用誘騙手法傳播，比如在 Facebook 廣告投放假 APK（例如「會員獎勵」APP），誘使用戶在各國家點擊並安裝。一旦用戶點擊並下載，木馬就會悄悄繞過部分 Android 安全機制，自動安裝自己。這提醒我們，即使是科技老鳥也可能中招－－在主流平台上碰到惡意廣告是個難纏的陷阱。

誰是高風險族群： 由於這類木馬通常需要用戶跳過官方商店，自行安裝外部程式，對於習慣 sideload 或不重視安全警告的 Android 用戶風險最高。然而，就連 Google Play 偶爾也會有木馬 APP 漏網（多數情況下很快下架）。在 Android 用戶和加密社群活躍的地區，像歐洲（波蘭、西班牙）、南美（巴西、阿根廷），以及土耳其、印尼、印度和美國等地，Crocodilus 均有活動記錄——全球影響。基本上，凡是用 Android 做銀行或持幣的人，都該警覺 overlay 植入型木馬。iPhone 用戶則相對較安全，因為 iOS 沙盒系統幾乎不允許一個 APP 疊加操作其他 APP 或抓取畫面內容（除非越獄）。Apple 的審查也致力於篩除此類行為。但 iOS 用戶同樣不該掉以輕心——如前所述，其他型態的加密貨幣惡意軟體還是會滲入。

防護建議： 和其他惡意軟體類型一樣，建議永遠優先下載官方商店 APP，並要仔細檢查要安裝的是什麼。如果某 APP 在 Android 上要求「協助工具權限」（很常被用來獲取疊加和點擊完全控制權），或要求超出宣稱功能需求的权限時要特別小心。如果你的銀行或錢包 APP 突然出現了從沒出現過的登入步驟、或要求新資訊，別急著輸入——這有可能就是惡意疊加介面。請保持你的 Android 安全設置嚴格（除非必要，最好關閉從「未知來源」安裝的功能）。當然，具備威脅偵測功能的行動安全 APP，在遇到已知銀行木馬時有機會預防被害。

誰最容易成為這些威脅的受害者？

加密貨幣惡意軟體已經是全球問題，根據平台和地區有所差異：

Android 用戶： 因 Android 開放生態系，Android 用戶面臨最多行動加密惡意軟體風險。Clippers、資訊竊取（infostealer）、銀行木馬以 Android 為首要目標，惡意者不僅易於引誘用戶安裝來路不明的 APP，甚至可透過預先灌入銷往各地的山寨機。在俄羅斯、東歐尤為常見（例如假 Tor 瀏覽器 clipper，或平價 Android 手機代理安裝惡意軟體等），土耳其、部份歐洲/南美（如 Crocodilus 活動區），亞洲、非洲則有大量供應鏈攻擊與詐騙 APP 猖獗。但這並不表示北美和西歐就安全——像 Inferno Drainer、殺豬盤這類全球詐騙集團已經成功矇騙美國、英國等大量用戶，靠的是社交工程而非技術漏洞。總之，只要你用 Android 做加密，無論在哪都應假設自己是攻擊目標。
iOS 用戶： iPhone 強化的安全架構和 Apple Curated App Store 讓惡意攻擊事件稀少，但「少」不等於「沒有」。iOS 使用者仍有可能淪為社交工程陷阱（像被誘導用 TestFlight 安裝假投資 APP）。另外，2024 年 SparkCat 惡意軟體首次在 App Store 上現身，也證明有決心的攻擊者還是能滲透。值得注意的是，Apple 迅速下架帶毒 APP。一般 iPhone 用戶只要堅守官方商店並維持基本警覺，相對安全——但身價高、或加密貨幣交易非常頻繁的 iOS 用戶還是要小心（尤其是外部釣魚連結、或誘導下載設定檔、測試版 APP 的要求）。
新手與經驗較淺的加密用戶： 許多詐騙（假 APP、吸血詐騙、殺豬盤）都專門針對剛接觸加密貨幣、對技術細節不夠熟悉的人。如果你用幣時間還不長，可能還不知道正規 APP 絕不會透過聊天索取 seed phrase，也不曉得區塊鏈交易一旦發出就無法反悔。詐騙者常常扮演「熱心朋友」或支援人員，引誘新手自己跳進陷阱。謹記：真正的錢包/交易所都有官方支援渠道，絕不會要求你安裝莫名其妙的 APP 參加活動或修復問題。
高資產用戶： 反過來說，如果你被認為持有大量加密資產（例如，你在社群媒體炫富，或鏈上大戶已被標記），你有可能被「定點狙擊」— 黑客專門針對你發起釣魚連結、甚至寄給你布有木馬的手機。雖然這比較少見，但只要你是幣圈名人、有價值標的，就建議額外提升防護（例如專門用一隻緊密管控的設備來操作資產）。

總的來說，這些威脅幾乎覆蓋所有使用者——從被戀愛詐騙誘導安裝假 APP 的退休長輩，到 DeFi 狂熱者誤入假 MetaMask 網站被釣魚，以及只是單純下載「Telegram」卻踩到木馬陷阱的普通 Android 用戶。所有人都必須保持警覺。

惡意軟體比一比：症狀、傳播方式與防禦想要有效保護你的加密資產，必須分清楚和理解行動端主要惡意軟體型態——clippers（地址竄改）、crypto drainer（吸血詐騙）、infostealer（資訊竊取木馬）、假加密 APP、層疊視窗木馬（overlay trojan）等。各自有不同症狀、傳播載體及最佳應對措施。

Clipper 木馬會偷偷把你複製的錢包地址換成攻擊者的，多從非官方 APP、APK 安裝檔，甚至某些假冒手機的預載軟體傳播。因為它潛伏安靜，通常無症狀，直到最後資金誤轉到駭客那一方你才發現中招。預防要領是交易時反覆核對地址、只從官方渠道安裝 APP，以及使用具威脅偵測能力的手機安全軟體。

Crypto drainer（包括釣魚網站、「DaaS 服務站」）誘導用戶主動洩露私鑰，或授權惡意交易。這類常見於社群網站、電子郵件、即時訊息的釣魚連結，經常假冒 Coinbase、MetaMask 等官方錢包服務器。你的手機通常沒有異常症狀，但錢被轉走會非常明顯。本質防禦在於謹慎——絕對不要在官方錢包之外輸入助記詞、仔細核對網址、拒收來路不明的「空投」活動、定期移除不再使用的 Dapp 授權。

Infostealer 木馬會靜悄悄地從手機偷出密碼、助記詞，甚至恢復資訊的截圖。經常藏在表面正當的 APP 裡——有時即使上架官方商店也可能出現——因此很難察覺，有時只會有像是耗電加劇、卡頓小徵兆。最有效守則就是：永遠不要在手機本地數位紀錄助記詞或私鑰、不截圖敏感資訊、安裝前要仔細調查 APP 來源、並關注 APP 權限異常要求。

假加密錢包或投資 APP 則是直接設局，誘使用戶存入資金，實則為詐騙假平台（常見手法如殺豬盤）。這類 APP 會顯示虛假存款與獲利，但到頭來讓你無法出金。多數通過下載連結、社群訊息、Apple TestFlight 這類工具散布，完全仰賴欺騙信任。你該做的就是：死守官方、大型錢包/投資 APP、對高獲利誘惑警覺、遠離任何陌生人或線上新朋友大力推銷的新 APP。

最後，銀行與錢包木馬會利用疊加假畫面——假登入頁直接在原本銀行/加密 APP 上層運作，竊取帳密。傳播主要依賴...deceptive links、SMS phishing、惡意社群媒體廣告，或是從外部安裝的 APK 檔案，這類木馬程式通常會跳出意外或陌生的登入要求。提高警覺的方法包括拒絕不必要的應用程式權限（如可存取性或裝置管理員）、質疑任何異常的應用行為，以及確保你的手機軟體持續保持最新狀態。

How to Protect Yourself and Your Crypto Assets

我們已經提到許多令人擔憂的情境，不過好消息是，只要遵循幾個簡單的做法，你就能大幅降低風險。以下是一份防範行動裝置加密貨幣惡意程式的精簡檢查清單：

使用官方應用程式並保持更新： 只從 Google Play 商店或 Apple App Store 下載錢包 App、交易所或相關應用。即使如此，也要再次確認那是正牌應用（檢查開發者名稱、閱讀評論）。這些 App 和你手機的作業系統都要保持最新，以獲得最新的安全修補。
避免外部安裝及不明連結： 在 Android 平台，外部安裝（從官方商店以外來源安裝 App）風險極高，非必要請避免。對於電子郵件、社群媒體、即時通訊 App 傳來的連結要特別謹慎，特別是那些宣稱快速獲利或緊急要求的連結。有疑慮時就不要點擊。如果需要進入加密服務，請手動輸入網址或使用信任的書籤。
絕不分享你的助記詞： 你的錢包恢復助記詞（即 12 或 24 組單字）就是你的全部資產鑰匙。除了你自己要恢復錢包時，沒有任何合法的客服或應用會要求它。把這串字當成最重要的密碼看待。如果任何 App、網站或人員向你索取它，都要視為詐騙並拒絕。
一切細節都要再三確認： 進行加密貨幣交易時，養成雙重或三重檢查細節的習慣。針對地址，請比對首 4–6 碼和末 4–6 碼是否與預期收件人相符。交易前確認金額、資產種類等細節。這樣不但可防止「剪貼簿木馬」，也能避免人為失誤。事實上，幣安的安全團隊甚至建議你可以將要匯款的錢包地址截圖，用其他管道與收款人核對—雖然日常交易未必需要這麼麻煩，但這凸顯了按下「送出」前確認無誤的重要性。
注意裝置異常行為： 多關注你的手機。如果突然出現沒安裝過的新 App，或裝置持續過熱、變卡，務必查明原因，這都可能是隱藏惡意程式的徵兆。同樣地，如果你的行動瀏覽器反常跳轉或出現奇怪的彈窗，也不能忽視。請移除任何可疑 App，並考慮進行手機安全掃描。在 Android 裡，也可以到設定 > 應用程式，檢查所有已安裝的 App—如發現陌生又有廣泛權限的程式，就是警訊。
加強通訊安全： 有些惡意程式會攔截 SMS 訊息（二階段驗證碼）或 WhatsApp/Telegram 訊息（如前述預載木馬）。能用 App 型驗證器（如 Google Authenticator、Authy）或硬體二階段驗證器，盡量不要用 SMS 收驗證碼，降低 SIM 卡換機攻擊及 SMS 竊取型惡意程式的威脅。還有，於通訊 App 上要謹言慎行——例如絕不要用聊天工具傳送私鑰或登入密碼給任何人。
大額資產用硬體錢包： 若你持有大量加密貨幣長期儲存，強烈建議採用硬體錢包（如 Ledger、Trezor）。這類裝置將你的資產鑰匙完全隔離於手機/電腦外，且每一筆交易必須在該設備上確認。即使你的手機被植入惡意碼，駭客也無法直接竊取硬體錢包內的鑰匙。（但切記，務必從原廠直接購買硬體錢包，避免被動手腳。）
錢包備份也要安全： 這點在安全建議中可能聽來矛盾，但你一定要將助記詞離線安全備份（寫紙上或刻於金屬片，並置於密碼箱等安全地點）。為什麼這也是安全建議？因為一但手機被惡意程式清除資料或你因勒索病毒被鎖定，還能靠備份恢復資產。重點是，不該將這份備份存於數位裝置——用防火保險箱或銀行保管箱，不要存在手機相簿或純文字筆記裡。
持續補充新知並自我教育： 加密貨幣圈瞬息萬變，相對應的威脅也層出不窮。養成定期追蹤可靠的加密貨幣安全新聞（例如幣安等交易所常發佈安全警報，或參考資安公司報告）的習慣。若你第一時間就對新型詐騙、最新惡意程式有警覺，遇上時就能快速發現不對勁。這些知識也一起分享給你身邊有意涉足加密貨幣的親友，許多受害者只是因為「不知道注意什麼」才落入圈套。

2025 年十大加密貨幣惡意程式威脅

1. SparkCat Infostealer

威脅： 官方 App Store 與 Google Play 的應用程式中出現惡意 SDK，利用光學字元辨識（OCR）掃描影像以竊取加密貨幣助記詞。
防護： 絕不以數位形式保存助記詞，也不要截圖。請使用加密密碼管理工具或離線紙本備份。

2. Clipper Malware（剪貼簿劫持者）

威脅： 默默將複製到剪貼簿的加密地址換成攻擊者的地址，使用者在不知情下把資產匯給駭客。
防護： 記得每次貼上加密錢包地址都再三確認（檢查首末數字）。勿安裝非官方來源的 App，安全軟體也要保持最新。

3. Inferno Drainer（詐騙即服務）

威脅： 透過數千個假網域冒充主流加密平台釣魚，連接後錢包資產會被迅速洗劫。
防護： 絕不在網頁輸入私鑰或助記詞；小心核對網址；定期撤銷未使用錢包的授權。

4. Crocodilus Banking Trojan

威脅： Android 慢性木馬在加密錢包或銀行 App 上疊加假登入畫面，偷取密碼、鑰匙甚至雙重驗證碼。
防護： 拒絕可疑 App 權限（尤其是可存取性服務）；詳查異常登入要求；裝置隨時更新。

5. CryptoRom（假投資 App）

威脅： 透過 Apple TestFlight 及 APK 檔偽裝發佈的假加密投資 App，常為「殺豬盤」愛情詐騙工具。
防護： 只在官方商店下載程式；拒絕網路陌生人投資邀約；對異常高回報保持懷疑。

6. 木馬化 WhatsApp 與 Telegram App

威脅： 改裝的即時通訊程式預載惡意程式，竊取錢包地址、訊息及助記詞。
防護： 僅用官方認證通訊軟體；避免 sideload 熱門應用。

7. 惡意 QR Code 掃描程式

威脅： 假 QR 掃描 App 可悄悄將加密匯款導向攻擊者錢包，Android 用戶特別容易受害。
防護： 使用手機內建的 QR 掃描工具；掃描後再次驗證地址；立即移除任何可疑 App。

8. 支援 SIM 卡換機攻擊的惡意程式

威脅： 惡意軟體可竊取受感染裝置的 SMS 兩步驗證碼，協助執行 SIM 卡換機攻擊盜竊加密錢包。
防護： 優先使用 App 或硬體驗證，避免 SMS ；定期檢查手機安全設定與 SIM 卡異常。

9. NFT 鑄造與空投詐騙

威脅： 以 NFT 空投或獨家鑄造為名的惡意連結，意圖引誘使用者連結錢包、竊走資產，常見於社群媒體推廣。
防護： 對任何突如其來的 NFT 或加密投資引誘要特別留意；未經核實的網站不要輕易連結錢包。

10. 惡意加密貨幣錢包瀏覽器擴充套件

威脅： 假裝成主流錢包的瀏覽器外掛，藉由網頁互動竊取錢包金鑰與助記詞。
防護： 僅從官方網站安裝錢包擴充套件；定期檢查瀏覽器已安裝外掛；啟用資安監控工具。