SafeW 植入的恶意软件，到底是什么？

它和普通病毒不一样在哪

很多人对手机木马的印象还停留在「弹广告」「偷话费」。这套恶意软件的危险，在于它极其克制、极其精准：平时几乎没有可感知的异常，只在后台默默做一件事——把你相册里的图片读成文字，从中筛出最值钱的那几行。

它瞄准的，是加密货币世界里最致命的弱点：助记词（恢复短语）一旦泄露，钱包就等于被交了出去，且区块链上的转账无法撤销、无法挂失。这让相册里那张「先截个图备份一下」的助记词，成了价值连城的目标。

它会申请图库权限，使用图像文字识别（OCR）分析相册中的图片，在命中加密钱包恢复短语等关键词后，将相关图片上传给攻击者。 —— 据卡巴斯基对这套恶意软件的技术分析

为什么它格外危险

1. 它出现在「官方商店」里

据卡巴斯基报告，相关应用曾同时出现在 App Store 与 Google Play。这打破了「从官方商店下载就一定安全」的惯性认知——审核可以被绕过，下载量和评分也可以营造可信假象。

2. 它跨 iOS 和 Android 双平台

无论你用 iPhone 还是安卓，都不在「天然免疫」之列。SafeW 在两个平台上都有被点名的版本。

3. 它专挑「无法挽回」的资产下手

被盗的是加密货币——没有客服、没有银行风控、没有撤销按钮。一旦助记词外泄、资产被转走，几乎没有找回的可能。

4. 它会卷土重来

最能说明问题的，是它被发现之后的反应：SafeW 被查出问题、下架后，开发方并未修复，而是将软件改名为 SafeX 重新上架谷歌商店。结果 2026 年 4 月，卡巴斯基再次查出 SafeX 仍植入恶意软件，谷歌商店再次将其下架。换个名字，问题原封不动。

SafeW、SafeX 与这套恶意软件，三者是什么关系

把三个名字一次说清楚，免得混淆：

• SafeW：那款聊天 / 云办公软件本来的名字。
• SafeX：SafeW 被下架后，改头换面所用的新名字——同一个开发方、同样的问题。
• 这套恶意软件：藏在它们内部、负责窃取信息的代码，安全行业将其命名为 SparkCat。

想看具体的应用包名、SafeX 改名经过和原始报告链接，请前往 证据档案。

普通用户怎么防

• 不要把助记词、私钥、密码、二次验证备份码截图存相册。这是最有效的一条。
• 谨慎授予相册 / 图库权限，尤其是来历不明、却号称「很安全」的应用。
• 从可信渠道下载应用，但也别迷信「官方商店 = 绝对安全」。
• 加密资产尽量使用硬件钱包，助记词离线手抄、妥善保管。
• 定期用安全软件扫描，留意应用索取的权限是否合理。

如果你已经装过 SafeW 或 SafeX，请直接看 应急自救指南。