我們見過不止一個人栽在「App」上:在網站還知道核對網域,可一旦東西裝進了手機,大多數人就徹底放下戒心了——圖示對、打開能登入、行情還在跳,看著哪兒都對。問題是,一個網頁最多在你打開的那一刻騙你;而一個 App 是常駐的,它能在你沒看螢幕的時候,讀你複製的地址、攔下你的驗證碼、在後台悄悄替你「操作」。這就是為什麼同樣是高仿,假 App 通常比假網站更危險。這篇帶你把它看穿。
- 假 App 比假網站危險,是因為它裝進手機後能拿到權限、長期常駐,能接觸的東西遠多於一個網頁。
- 裝 App 只認兩個來源:Apple App Store,或你自己輸入官方網域進入的官網下載頁;任何人私訊、群組裡、第三方站傳來的安裝檔一律不裝。
- 安裝時跳出的「通知 / 無障礙 / 剪貼簿」權限不是小事——無障礙權限幾乎等於把手機交給對方,看到 App 開口要,先停下。
為什麼假 App 比假網站更危險
先把這層差別講透,後面的所有警惕才有依據。
一個釣魚網站,它的能力範圍基本被關在瀏覽器那個分頁裡:你輸什麼它收什麼,你一關頁面,它就碰不到你了。它讀不到你別的 App、讀不到你背景複製的內容,也沒法在你睡覺時替你按確認。
App 完全是另一回事。它一旦裝進手機,就成了系統裡一個長期住戶。安裝過程裡它會向你申請權限——通知、剪貼簿、相簿、無障礙(輔助使用)、懸浮視窗等等。每給一項,它的「手」就伸長一截。一個拿到了無障礙權限的惡意 App,理論上可以讀取你螢幕上顯示的內容、模擬你的點擊、在你不知情時完成一連串操作。這已經不是「騙你輸入」那麼簡單,而是它能主動動手。
一句話抓住要害
假網站偷的是「你願意告訴它的東西」;假 App 偷的是「你整支手機裡它碰得到的東西」。前者關掉頁面就結束,後者不移除就一直在。
它們都從哪冒出來
正規 App 只走應用程式商店那一條窄門,而山寨 App 偏偏避開這條門,從各種「側門」遞到你手上。認清這些來路,你就知道警報該在什麼時候響。
第三方下載站、聚合下載頁
「XX 應用市集」「安卓下載大全」這類非官方站點,常年掛著被改包、被植入程式碼的山寨版本。一個 App 越是只能在這種地方找到、在官方商店裡反而沒有,越可疑。
私訊 / 群組裡傳來的安裝檔
「客服」或「老師」直接丟給你一個 .apk 檔、一個下載 QR Code,或一句「應用程式商店那個是舊版,用我這個新版」。安裝檔脫離了商店審核,裡面塞了什麼你根本無從得知。
蘋果端的側載:TestFlight 與企業憑證
iPhone 不能隨便裝來路不明的 App,於是對方繞道:用 TestFlight(本是給開發者做內測的)分發一個「測試版交易所」,或者用企業憑證 / 描述檔(MDM)讓你「信任」後安裝。一旦你按提示去「設定」裡點了信任某個企業憑證,等於給了它在系統裡執行的通行證。
搜尋結果與廣告
你搜「OKX 下載」「幣安 app」,靠前的結果可能是仿冒下載頁,頁面套著官方的樣子,下載按鈕卻指向山寨檔。和假網站一樣,排名靠前不等於官方。
三種形態:空殼、套殼、帶毒
山寨 App 不是只有一種坑法。大致分三類,危害方式各不一樣:
| 形態 | 它怎麼坑你 | 典型跡象 |
|---|---|---|
| 純空殼:騙儲值 | 整個「交易所」都是假的,你能註冊、能儲值、能看到餘額和「獲利」漲,但永遠提不出錢。本質是個收款介面。 | 儲值順暢、提領各種卡;只能私下/群組裡拿到;客服只在站外 |
| 套殼釣魚:盜帳號 | 外面套一層仿真介面,你輸入的真交易所帳號、密碼、驗證碼被即時轉送到對方後台,他們拿去登入你的真帳號提幣。 | 登入後要你「再驗證一次」「綁定舊帳號」 要你輸助記詞/私鑰 |
| 帶惡意程式碼:竊取背景資訊 | App 裡藏木馬,讀取你的剪貼簿(尤其是你複製的錢包地址、助記詞)、攔截螢幕上的簡訊驗證碼,甚至竄改你複製的收款地址。 | 索取無障礙/通知/簡訊權限;手機變慢、發燙、流量異常 |
說明:上述形態常常混合出現,一個山寨 App 可能既是空殼又帶惡意程式碼。這裡拆開講,是為了讓你辨識時心裡有數,並非互斥分類。
剪貼簿替換:最陰的一種
有的山寨 App 會盯著你的剪貼簿。當你複製一個錢包地址準備轉帳時,它在你貼上的瞬間把地址換成詐騙集團的地址。地址那麼長,誰會逐字核對?錢就這樣轉錯了人。養成習慣:轉帳前核對地址的開頭幾位和結尾幾位。
點「允許」那一刻,你交出了什麼
安裝和首次打開時,App 會跳一連串權限請求。多數人習慣性「允許、允許、允許」地點過去。但對一個交易所類 App 來說,有幾項權限給出去的代價遠超你想像:
- 無障礙 / 輔助使用:這是風險最高的一項。它能讀取螢幕上顯示的全部內容、模擬點擊。一個正經的交易所 App 幾乎沒理由硬要它——看到強制索取無障礙權限,直接當紅燈。
- 通知 / 讀取通知:你的簡訊驗證碼、登入提醒常以通知形式跳出,讀取通知就可能攔到驗證碼。
- 剪貼簿存取:用來偷或替換你複製的錢包地址、助記詞。
- 簡訊權限(Android):直接讀取你收到的簡訊驗證碼,繞過你這個「人」。
- 懸浮視窗 / 顯示在其他應用程式上層:可以在真 App 上覆蓋一個假輸入框,你以為在真 App 裡輸入,其實輸進了它。
權限和功能對不上,就是警報
判斷邏輯很簡單:這個權限和「看行情、下單、轉帳」這件事有沒有合理關係?一個交易所 App 要無障礙、要讀你的簡訊、要常駐懸浮視窗,功能上根本說不通——說不通的索取,就是它圖謀別的東西。
怎麼確認一個 App 是不是官方
不用懂技術,把下面這套核對流程走一遍,就能擋掉絕大多數山寨檔:
只認兩個下載來源
蘋果用戶:在 App Store 裡搜。Android 用戶:手動輸入官方網域進入官網的下載頁,從那裡跳轉或掃碼。除此之外,任何管道傳來的安裝檔都不裝。
核對開發者 / 發行主體名稱
在商店頁面往下看「開發者」那一欄,確認是這家交易所的官方公司主體,而不是一個陌生的個人名或雜牌公司名。山寨檔常常換了個皮,開發者名字卻露了餡。
和官網下載入口比對
回到你手動輸入網域進入的官網,看官方給出的下載方式和你手裡的是否一致。以官網為準,不以搜尋結果為準。
看評價數量與歷史
官方主流 App 通常有大量評價和較長的更新歷史。一個剛上架沒幾天、評價寥寥、或者評價裡全是雷同好評的「交易所」,要打個大問號。
iPhone 警惕「信任憑證」提示
正常從 App Store 裝 App,絕不會讓你去「設定 → 一般 → VPN 與裝置管理」裡手動信任某個企業憑證。一旦出現這種引導,幾乎可以判定是側載的山寨檔。
一句話原則
分辨真假 App,看的不是圖示和介面長什麼樣,而是它從哪條路進的你手機、裝的時候要了哪些和功能對不上的權限。來路對、權限合理,基本就不會錯。
危險訊號清單
出現這些,八成是山寨 App
- 是別人(客服、老師、群友)傳安裝檔或下載 QR Code 給你的,還說「商店那個是舊版」。
- 要你去「信任企業憑證」或裝一個描述檔(MDM)才能用。
- 安裝/啟動時硬要無障礙、簡訊、懸浮視窗等和交易功能無關的權限。
- 儲值順利、提領總卡,或提領要先繳「稅/保證金/手續費」。
- 登入後要你「再驗證一次」「綁定舊帳號」,甚至要你輸入錢包助記詞或私鑰(任何正規 App 都不會要)。
- 客服只在 Telegram / LINE / WhatsApp 私聊,App 內沒有正規工單入口。
已經裝了、儲值了,馬上做這幾件事
如果你已經裝了可疑 App、甚至儲值了,別慌,但要快、要按順序來:
移除 App,清掉憑證和描述檔
刪掉這個 App。iPhone 還要進「設定 → 一般 → VPN 與裝置管理」裡刪掉它裝上的企業憑證 / 描述檔;Android 裡取消它的無障礙等權限再移除。
換一台乾淨裝置處理後續
這支手機已經可能被植入了東西,後面改密碼、查帳號的動作,盡量在另一台你確信乾淨的裝置上做。
改密碼、撤裝置、查 API 與白名單
從官方管道進入你真正的交易所和電子郵件,修改登入與資金密碼,踢掉所有陌生登入裝置和工作階段,關閉可疑 API key,檢查提幣地址白名單有沒有被加陌生地址。
轉移還能控制的資產
把還在你掌控裡的資產盡快轉到安全地址。如果你的錢包助記詞曾被這個 App 接觸過,要預設它已經外洩,換新錢包。
保存證據、考慮報案
截圖保存 App 名稱、下載頁、聊天紀錄、轉帳紀錄。台灣可撥 165 反詐騙諮詢專線並向內政部警政署刑事警察局報案,香港可報警並用反詐騙協調中心(ADCC)的防騙視伏器(Scameter)查證。具體取證和報案流程見 被騙後怎麼辦。
提防「幫你追回」的第二波
儲值進山寨 App 的錢通常很難追回,而被騙之後很快會有人冒出來說「能幫你追損失」。這幾乎都是盯著受害者的二次詐騙,詳見 USDT 回收 / 解凍騙局。
常見問題
假 App 和假網站,哪個更危險?
假 App 通常更危險。網站只能在你開著它的那個分頁裡騙你,關掉就沒了;而 App 一旦安裝,就常駐在手機裡,可能申請通知、無障礙、剪貼簿等權限,在你沒看螢幕的時候也能讀取資訊、讀你複製的錢包地址、甚至讀到螢幕上的驗證碼。它能接觸的東西比一個網頁多得多。
怎麼確認一個交易所 App 是不是官方的?
只從兩個地方下載:Apple App Store,或者從你手動輸入官方網域進入的官網下載頁掃碼/跳轉。裝之前核對開發者名稱是否是該交易所的官方主體,看評價數量和歷史是否正常,並和官網下載入口給出的連結比對。絕不安裝任何人透過私訊、群組、第三方下載站傳來的安裝檔或 TestFlight / 描述檔邀請。
iPhone 不是裝不了亂七八糟的 App 嗎,怎麼也會中招?
iPhone 確實管得嚴,但對方會繞道:用 TestFlight(本來給開發者做內測)分發「測試版」,或者讓你去「設定」裡手動信任一個企業憑證 / 描述檔來側載。只要你按提示點了「信任」,這道防線就被你自己打開了。看到引導你去信任企業憑證,基本可以判定不對勁。
已經裝了山寨 App、還儲值了,現在怎麼辦?
先把那個 App 移除並刪掉相關的描述檔 / 企業憑證;然後換一台乾淨的裝置,從官方管道進入你真正的交易所和電子郵件帳號,修改密碼、撤銷陌生裝置和 API key、檢查提幣白名單;把還能控制的資產轉到安全地址;最後保存證據並考慮報案(台灣撥 165、香港聯絡 ADCC)。已經儲值進山寨 App 的錢通常很難追回,要警惕隨後冒出來的「幫你追回」二次詐騙。
與其下載後提心吊膽,不如從官方管道把 App 裝對
山寨 App 之所以能得手,多半是第一步就從私訊、第三方站、側載裝進了門。如果你打算開始交易,建議直接用正規大所、走官方管道註冊,再從 Apple App Store 或官網下載頁裝它的 App。OKX 是其中一家主流交易所,可透過下面的官方註冊入口進入,官方網域是 okx.com。
順手再看
- 高仿釣魚網站與假交易所——假 App 的「網頁版本」,同樣靠仿冒得手。
- 假客服與「帳號解凍」騙局——很多山寨安裝檔,就是假客服遞到你手裡的。
- 怎麼判斷一個交易所是否正規——從源頭挑對交易所,假 App 就無從下手。