证据档案

SafeW / SafeX 证据档案

这一页把能公开核对的事实集中放在一起:被点名的应用、改名 SafeX 的经过、原始来源和时间线。你不必相信我们的结论,自己点开原文核对即可。

证据一 · 被点名的应用

卡巴斯基报告中,被确认带毒的 SafeW 版本

下面这串字符是应用的「包名」,可以理解为每款 App 的唯一标识。它们出现在卡巴斯基 2025 年报告中确认带毒的名单里。点右侧按钮可复制原值,便于你在原始报告中检索比对。

卡巴斯基报告:被确认带毒的应用
Android org.safew.messenger
Android org.safew.messenger.store
iOS com.safew.messenger
怎么核对:打开下方「证据四」中的卡巴斯基报告,在页面内搜索 safew,即可在确认带毒的名单中看到上述条目。
证据二 · 改名换皮

下架后改名「SafeX」,问题原封不动

最能说明问题的,不是它被查出带毒,而是它被查出之后的反应:

  • SafeW 被查出植入恶意软件后,被谷歌商店下架;
  • 开发方没有公开修复、也没有说明,而是将软件改名为 SafeX重新上架谷歌商店
  • 2026 年 4 月,卡巴斯基再次点名:SafeX 仍然植入恶意软件;
  • 谷歌商店据此再次将其下架
  • 被商店下架后,SafeW 不再走谷歌商店,而是改为从自家网站直接分发安卓可安装的 APK 文件,绕开应用商店的安全审核——由已被两次查出带毒的一方,把未经审核的安装包直接递到你手机上。

同一个开发方、同样的窃密行为,只是换了个名字。这种「被发现就改名、改完接着上架」的做法,本身就足以说明问题——它说明问题不是某个版本的疏忽,而是这款产品根本上的不可信。

所以:看到「SafeW」要警惕,看到「SafeX」同样要警惕——它们是同一款软件的两个名字。
证据三 · 2026 再次曝光

The Hacker News 报道中,仍有「SafeW—云办公助理」

2026 年 4 月,知名安全媒体 The Hacker News 报道了新一轮活动,列出的受影响 iOS 应用中仍包含:

  • SafeW—云办公助理
  • 悟空外卖:泰国华人生活管家

报道指出,这套恶意软件会伪装在企业通讯、外卖等看似正常的应用中,静默扫描相册里的加密钱包恢复短语。这说明 SafeW 的问题并未止于 2025 年的那一次。

证据四 · 原始来源

所有结论的出处

Kaspersky

SparkCat stealer in App Store and Google Play(2025.02)

名单含被点名的 SafeW 应用包名 · securelist.com/.../115385/

 THN

New SparkCat variant in iOS / Android(2026.04)

新一轮活动仍点名「SafeW—云办公助理」· thehackernews.com

 Kaspersky

新闻稿:发现绕过商店审核的新变种

含官方安全建议 · kaspersky.com/about/press-releases

 MyCERT

SparkCat 入侵 Google Play 与 App Store(2025)

CERT 安全公告 MA-1260.022025 · mycert.org.my
证据五 · 时间线

公开记录按时间排列

2024.03

恶意软件活动可追溯起点

卡巴斯基依据相关文件时间戳推断的活动起点。

2025.02

卡巴斯基首次曝光 SafeW

报告点名 SafeW 的 Android 与 iOS 版本,随后两大商店下架相关应用。

下架之后

改名 SafeX 重新上架

开发方将软件改名为 SafeX,重新上架谷歌商店。

2026.04

SafeX 再被查出、再次下架

卡巴斯基再次点名 SafeX 植入恶意软件,谷歌商店再次将其下架;The Hacker News 同期报道仍点名「SafeW—云办公助理」。

看完证据,接下来该做什么

如果你正在用、或装过 SafeW 或 SafeX,别停在「知道了」——按指南把权限和敏感截图处理掉。

前往自救指南 了解这套恶意软件