黑吃黑：警惕假新币擔保 Safew 應用盜幣風險

撰文：Bitrace

Safew 是一款主要功能類似 Telegram 的隱私通訊軟體，基於 Telegram 的加密技術（MTProto 協議），訊息、語音、影片、檔案在傳輸過程中全程加密，只有聊天雙方能看到內容，伺服器無法讀取。部分企業出於隱私考量甚至會進一步透過私有化部署的形式，完全控制資料或逃避合規審查。

由於 Telegram 日漸頻繁的執法協作與社群封禁，當前東南亞最大的非法加密貨幣交易擔保平台——新幣擔保，正在嘗試將 Telegram 公眾群商家遷移至 Safew，也因此導致了假 Safew 應用的氾濫，對以公眾群商家為主的黑灰產從業者的加密資金安全構成威脅。

本文旨在對這一黑吃黑態勢進行部分披露。

時間線

北京時間 2025 年 5 月 13 日，彼時東南亞最大的兩家非法加密貨幣交易平台好旺擔保與新幣擔保，同時遭到來自 Telegram 官方的制裁，兩家實體大量官方客服帳號與業務公眾群被直接封禁，導致業務短期內停擺，並造成黑灰產圈大範圍恐慌。

兩家實體對此做出了不同的應對方式——

5 月 13 日當天上午，好旺擔保宣布停止經營並將所有公眾群業務交付給土豆擔保，後者系好旺擔保早前注資 30%的關聯實體。透過名義上倒閉的形式，好旺擔保實現金蝉脫殼，品牌更新為土豆擔保，繼續經營其非法業務。

5 月 14 日，新幣擔保更新其官網 xinbi[.]com 首頁內容，宣布正式啟用 Safew 公眾群以規避 Telegram 對其非法業務公眾群的封禁。儘管官網內容已經失效，但使用網頁存檔工具仍能看到蛛絲馬跡。

隨即黑灰產社群開始出現聲討新幣擔保推出 Safew 旨在盜取用戶加密資產的聲音，這類負面討論在 2026 年初土豆擔保徹底倒閉、新幣擔保加速公眾群遷移速度後達到最大。

仿冒 Safew 網站頻出

儘管新幣擔保一再強調 Safew 的正確下載地址，並宣稱軟體已經上架 IOS 應用市場，仍有假 Safew 團伙大量製作仿冒的非官方下載網站，並污染搜尋引擎關鍵詞進行推廣。

以非官方連結 safew-x[.]com 為例。使用 ANY.RUN 在線安全沙箱檢測工具對樣本（下載連結）進行分析時，檢測到惡意行為。

樣本執行後釋放 Gh0stRAT SweetSpecter 變種（全功能遠端存取木馬），並與 C2 伺服器建立指令與控制通信，觸發以下 Emerging Threats 規則：

ET MALWARE [ANY.RUN] Gh0stRAT.Gen Server Response (SweetSpecter)

ET DROP Spamhaus DROP Listed Traffic Inbound group 2

該變種具備遠端桌面、鍵盤記錄、檔案竊取等能力，目標設備感染後，攻擊者可實現對受感染主機的完全遠端控制，包括即時遠端桌面、鍵盤記錄、攝像頭/麥克風監控、檔案竊取與外傳、任意命令執行以及進一步部署惡意工具。一旦感染，威脅行為者能夠長期隱蔽駐留並竊取敏感資料。判定為高危遠端存取木馬（RAT）。

而對大量使用加密貨幣錢包進行黑灰業務的公眾群商家與用戶而言，這類惡意軟體的目標顯然是設備中存放的錢包私鑰。

新幣擔保 Safew 公眾群業務分析

Bitrace 長期對新幣擔保進行資金活動監測，針對 Safew 公眾群上押地址的調查顯示，儘管新幣擔保在 2025 年 5 月就推出了 Safew 公眾群，但當年 8 月才為這一服務分配了獨立的業務地址，並且業務規模較低並逐月降低。

直到 2025 年底至 2026 年初匯旺支付與土豆擔保相繼倒閉，新幣擔保大力推廣其 Safew 公眾群業務，地址活動才有所上升，於 2026 年 1 月短暫實現月度資金流入超過 3200 萬 USDT，隨後逐月降低。

在對新幣擔保所有上押地址進行統計後，發現 Safew 渠道一個月的上押規模僅相當於 Telegram 渠道一天，表明當前 Telegram 仍然是新幣擔保黑灰產公眾群商家的首選。

寫在最後

事實上，針對黑灰產從業者的黑吃黑現象十分頻繁，從假錢包到假 Telegram，再從線下扳手攻擊到線上社會工程學，游離在法律規則之外的這一群體正在成為攻擊目標。

在土豆擔保倒閉後，新幣擔保已經成為東南亞最大的非法加密貨幣交易擔保平台。這次針對 Safew 公眾群商家的釣魚活動並非開始，也遠未結束。

Bitrace 將持續保持監測。