警惕“黑吃黑”：假Safew应用盗取加密资产风险加剧

Safew 是一款功能类似于 Telegram 的隐私通讯软件，基于 Telegram 的加密技术（MTProto 协议），其消息、语音、视频和文件在传输过程中全程加密，只有聊天双方能够查看内容，服务器无法读取。出于隐私考虑，部分企业甚至通过私有化部署的方式完全控制数据或规避合规审查。

由于 Telegram 日益频繁的执法协作与社群封禁，东南亚最大的非法加密货币交易担保平台——新币担保，正尝试将 Telegram 公群商家迁移至 Safew。这一迁移导致了大量假 Safew 应用的泛滥，对以公群商家为主的黑灰产从业者的加密资金安全构成严重威胁。

本文旨在披露这一“黑吃黑”的态势及其背后的风险。

时间线

北京时间 2025 年 5 月 13 日，东南亚最大的两家非法加密货币交易平台好旺担保与新币担保同时遭到 Telegram 官方制裁，大量官方客服账号与业务公群被封禁，导致业务短期内停摆，并引发黑灰产圈的大范围恐慌。

两家实体采取了不同的应对方式：

5 月 13 日当天上午，好旺担保宣布停止经营，并将其所有公群业务转交给土豆担保。后者是好旺担保早前注资 30% 的关联实体。通过名义上的倒闭，好旺担保成功实现金蝉脱壳，并以土豆担保的品牌继续经营其非法业务。

5 月 14 日，新币担保更新其官网 xinbi[.]com 首页内容，宣布正式启用 Safew 公群，以规避 Telegram 对其非法业务公群的封禁。尽管官网内容已失效，但通过网页存档工具仍能看到相关线索  https://archive.md/iDXW8 。

随后，黑灰产社区开始出现声讨新币担保推出 Safew 旨在盗取用户加密资产的声音。这类负面讨论在 2026 年初土豆担保彻底倒闭后达到顶峰，新币担保加速公群迁移速度进一步激化了矛盾。

仿冒 Safew 网站频出

尽管新币担保一再强调 Safew 的正确下载地址，并宣称软件已经上架 IOS 应用市场，仍有假 Safew 团伙制作大量仿冒的非官方下载网站，并通过污染搜索引擎关键词进行推广。

以非官方链接 safew-x[.]com 为例。使用 ANY.RUN 在线安全沙箱检测工具对样本（下载链接：https://www.safew-x[.]com/_dl.php?t=win）进行分析时，检测到恶意行为。

样本执行后释放 Gh0stRAT SweetSpecter 变种（全功能远程访问木马），并与 C2 服务器建立命令与控制通信，触发以下 Emerging Threats 规则：

• ET MALWARE [ANY.RUN] Gh0stRAT.Gen Server Response (SweetSpecter)

• ET DROP Spamhaus DROP Listed Traffic Inbound group 2

该变种具备远程桌面、键盘记录、文件窃取等功能，目标设备感染后，攻击者可实现对受感染主机的完全远程控制，包括实时远程桌面、键盘记录、摄像头/麦克风监控、文件窃取与外传、任意命令执行以及进一步部署恶意工具。一旦感染，威胁行为者能够长期隐蔽驻留并窃取敏感数据。判定为高危远程访问木马（RAT）。

对于大量使用加密货币钱包进行黑灰业务的公群商家与用户而言，这类恶意软件的目标显然是设备中存放的钱包私钥。

新币担保 Safew 公群业务分析

Bitrace 长期对新币担保进行资金活动监测，针对 Safew 公群上押地址的调查显示，尽管新币担保在 2025 年 5 月就推出了 Safew 公群，但当年 8 月才为这一服务分配独立的业务地址，且业务规模较低并逐月下降。

直到 2025 年底至 2026 年初汇旺支付与土豆担保相继倒闭，新币担保大力推广其 Safew 公群业务，地址活动才有所上升，于 2026 年 1 月短暂实现月度资金流入超 3200 万 USDT，随后逐月降低。

在对新币担保所有上押地址进行统计后发现，Safew 渠道一个月的上押规模仅相当于 Telegram 渠道一天，表明当前 Telegram 仍然是新币担保黑灰产公群商家的首选。

写在最后

事实上，针对黑灰产从业者的“黑吃黑”现象十分频繁，从假钱包到假 Telegram，再从线下扳手攻击到线上社会工程学，游离在法律规则之外的这一群体正在成为攻击目标。

在土豆担保倒闭后，新币担保已成为东南亚最大的非法加密货币交易担保平台。这次针对 Safew 公群商家的钓鱼活动并非开始，也远未结束。

Bitrace 将持续保持监测。