想象一下,你剛剛購買了一部新的智慧手機。你開機,進行初始配置,測試相機,下載喜歡的應用。你甚至從官方應用商店安裝了一個加密錢包,並迅速充值儲存。一切進行得很順利 — 直到有一天,當你開啟錢包應用時,發現餘額已經消失。
發生了什麼?你已經完全遵守了安全指南:從官方渠道下載應用,啟用雙重認證(2FA),並絕對不共享安全資訊。但是有一件事你完全不知道:從手機開機的那一刻起,它就已經處於駭客的控制之下。
近年來,網路犯罪分子開發了一種新的精細攻擊方式:傳播預裝惡意軟體的仿冒手機,目的是竊取數字資產。本文將分析其運作機制、識別跡象和預防措施,針對這種日益普遍的欺詐行為。
仿冒手機欺詐:數字資產使用者的隱秘威脅
仿冒手機欺詐涉及向市場推出外觀和使用者介面幾乎與正品手機完全相同的裝置 — 尤其是常見的Android型號。然而,區別在於軟體層:這些裝置預裝了精密的惡意程式碼,通常在生產階段就深入嵌入作業系統,最終目標是竊取使用者的加密資產。
目標通常是使用加密錢包、進行交易或在移動裝置上儲存加密貨幣的使用者 — 即任何參與數字資產經濟的人都可能成為受害者。
危險之處在於,這些仿冒裝置的執行幾乎與真實手機沒有區別,使使用者難以在損失發生之前發現異常。
根據網路安全專家的報告,被發現的仿冒裝置數量正在迅速增加。2025年記錄的一次活動顯示,超過2,600名使用者被騙購買了包含惡意軟體的仿冒Android手機。卡巴斯基還警告稱,數千臺此類裝置正在線上平臺上公開銷售。
惡意軟體在仿冒手機上的工作方式
在仿冒裝置中常用的惡意軟體之一是Triada木馬 — 一種能夠深入系統並且極難被發現的惡意軟體。
Triada最初於2016年被確定,最初僅專注於從金融應用和WhatsApp、Facebook等通訊平臺竊取資料。然而,在新版本中,駭客已將Triada嵌入裝置韌體,使其成為作業系統的"匿名"部分,幾乎無法透過恢復出廠設定或使用防毒軟體等常規方法移除。
一旦裝置被Triada感染,攻擊者可以:
- 自動替換交易中的錢包地址,將資產轉移到他們的錢包。
- 訪問私鑰、賬戶登入資訊,並在未經使用者許可的情況下進行交易。
- 竊取全部財務資訊並繞過雙重認證等保護層。
- 偽造電話號碼並攔截通話和簡訊內容。
- 遠端安裝其他惡意軟體,為持續攻擊創造條件。
卡巴斯基的專家Dmitry Kalinin表示:"區塊鏈交易分析顯示,犯罪集團從這一活動中獲利巨大;一個與Triada相關的錢包地址已收到超過270,000美元的被盜加密貨幣。"
仿冒手機的傳播方式
令人擔憂的是,惡意軟體並非由使用者安裝,而是在生產或分銷階段就已嵌入。這引發了一個問題:這些已感染惡意軟體的裝置是如何流入消費者手中的?
答案在於裝置供應鏈已被入侵。一些分銷商或商店 — 無論是無意還是有意 — 正在銷售包含惡意軟體的仿冒裝置。這些手機通常:
- 在非官方電商平臺、灰色市場或小型商店銷售。
- 模仿三星、小米、華為等大品牌的外觀,以異常低的價格吸引消費者。
儘管這種形式最初源於俄羅斯,但現已遍及亞洲、歐洲和北美。透過網路輕鬆交易使消費者更容易落入陷阱。
預防措施
在加密資產價值不斷上升的背景下,來自網路犯罪的威脅也隨之增加。然而,使用者可以透過以下主動保護措施來降低風險:
- 只從製造商或授權零售商購買手機。 絕對避免購買來源不明的低價裝置,尤其是二手裝置。
- 始終更新作業系統和安全軟體。 新的補丁通常可以修復被利用的漏洞。
- 只從官方應用商店(App Store、Google Play)或開發者經過驗證的網站下載應用。
- 在安裝加密貨幣錢包之前仔細檢查發行商資訊。
- 警惕異常跡象,如裝置異常發熱、電池快速耗盡、出現可疑應用,或出現來源不明的彈窗。
- 避免點選來自陌生訊息的連結,即使內容看起來合理。
- 對所有與數字資產相關的賬戶始終啟用雙重認證(2FA)
- 優先使用硬體錢包長期儲存資產,而不是儲存在連線網際網路的裝置上。
- 嚴密監控錢包中的所有交易和異常活動。
- 安裝信譽良好的防病毒軟體,並定期掃描和更新系統。
