想象一下,你刚刚购买了一部新的智能手机。你开机,进行初始配置,测试相机,下载喜欢的应用。你甚至从官方应用商店安装了一个加密钱包,并迅速充值存储。一切进行得很顺利 — 直到有一天,当你打开钱包应用时,发现余额已经消失。
发生了什么?你已经完全遵守了安全指南:从官方渠道下载应用,启用双重认证(2FA),并绝对不共享安全信息。但是有一件事你完全不知道:从手机开机的那一刻起,它就已经处于黑客的控制之下。
近年来,网络犯罪分子开发了一种新的精细攻击方式:传播预装恶意软件的仿冒手机,目的是窃取数字资产。本文将分析其运作机制、识别迹象和预防措施,针对这种日益普遍的欺诈行为。
仿冒手机欺诈:数字资产用户的隐秘威胁
仿冒手机欺诈涉及向市场推出外观和用户界面几乎与正品手机完全相同的设备 — 尤其是常见的Android型号。然而,区别在于软件层:这些设备预装了精密的恶意代码,通常在生产阶段就深入嵌入操作系统,最终目标是窃取用户的加密资产。
目标通常是使用加密钱包、进行交易或在移动设备上存储加密货币的用户 — 即任何参与数字资产经济的人都可能成为受害者。
危险之处在于,这些仿冒设备的运行几乎与真实手机没有区别,使用户难以在损失发生之前发现异常。
根据网络安全专家的报告,被发现的仿冒设备数量正在迅速增加。2025年记录的一次活动显示,超过2,600名用户被骗购买了包含恶意软件的仿冒Android手机。卡巴斯基还警告称,数千台此类设备正在在线平台上公开销售。
恶意软件在仿冒手机上的工作方式
在仿冒设备中常用的恶意软件之一是Triada木马 — 一种能够深入系统并且极难被发现的恶意软件。
Triada最初于2016年被确定,最初仅专注于从金融应用和WhatsApp、Facebook等通讯平台窃取数据。然而,在新版本中,黑客已将Triada嵌入设备固件,使其成为操作系统的"匿名"部分,几乎无法通过恢复出厂设置或使用杀毒软件等常规方法移除。
一旦设备被Triada感染,攻击者可以:
- 自动替换交易中的钱包地址,将资产转移到他们的钱包。
- 访问私钥、账户登录信息,并在未经用户许可的情况下进行交易。
- 窃取全部财务信息并绕过双重认证等保护层。
- 伪造电话号码并拦截通话和短信内容。
- 远程安装其他恶意软件,为持续攻击创造条件。
卡巴斯基的专家Dmitry Kalinin表示:"区块链交易分析显示,犯罪集团从这一活动中获利巨大;一个与Triada相关的钱包地址已收到超过270,000美元的被盗加密货币。"
仿冒手机的传播方式
令人担忧的是,恶意软件并非由用户安装,而是在生产或分销阶段就已嵌入。这引发了一个问题:这些已感染恶意软件的设备是如何流入消费者手中的?
答案在于设备供应链已被入侵。一些分销商或商店 — 无论是无意还是有意 — 正在销售包含恶意软件的仿冒设备。这些手机通常:
- 在非官方电商平台、灰色市场或小型商店销售。
- 模仿三星、小米、华为等大品牌的外观,以异常低的价格吸引消费者。
尽管这种形式最初源于俄罗斯,但现已遍及亚洲、欧洲和北美。通过网络轻松交易使消费者更容易落入陷阱。
预防措施
在加密资产价值不断上升的背景下,来自网络犯罪的威胁也随之增加。然而,用户可以通过以下主动保护措施来降低风险:
- 只从制造商或授权零售商购买手机。 绝对避免购买来源不明的低价设备,尤其是二手设备。
- 始终更新操作系统和安全软件。 新的补丁通常可以修复被利用的漏洞。
- 只从官方应用商店(App Store、Google Play)或开发者经过验证的网站下载应用。
- 在安装加密货币钱包之前仔细检查发行商信息。
- 警惕异常迹象,如设备异常发热、电池快速耗尽、出现可疑应用,或出现来源不明的弹窗。
- 避免点击来自陌生消息的链接,即使内容看起来合理。
- 对所有与数字资产相关的账户始终启用双重认证(2FA)
- 优先使用硬件钱包长期存储资产,而不是保存在连接互联网的设备上。
- 严密监控钱包中的所有交易和异常活动。
- 安装信誉良好的防病毒软件,并定期扫描和更新系统。
