速览结论:街边"扫码就送纸巾、鸡蛋"的免费摊位,本质是诱导你下载木马App的诱饵。只要二维码指向的不是手机自带应用商店、而是要你"下载一个App才能领取",并且这个App来自陌生网址(不是 .gov.cn,不是官方应用市场),就要直接走开。真正的便民活动不需要你装一个陌生App,更不需要你授予无障碍、短信、设备管理员权限。已经装了的,立即关机断网、拨打 96110 反诈专线,并到银行冻结账户。

骗术是怎么一步步得手的

根据央视新闻和中新网2026年6月10日至11日的报道,这套骗术分工明确,专挑中老年人下手,因为这一人群对智能手机操作不熟、自我保护意识相对薄弱。

第一步:街边设摊,小恩小惠开路。骗子在菜市场、超市门口、地铁口等人流密集处摆摊,挂出"扫码免费领"的牌子,奖品是卷纸、鸡蛋、洗衣液这类对老人有吸引力的日用品。地推人员态度热情,会耐心陪老人聊天,每成功诱导一人下载,背后就能拿到一笔提成。报道披露的一个团伙中,每"拉"到一名受害者,地推可获利约240元。

第二步:扫码跳转,要求"下载App才能领"。扫码后并不是直接领奖,而是跳到一个页面,提示"需要下载我们的App注册后才能领取"。这个App往往仿冒一个看似正规的品牌名或图标,让老人误以为是正规软件。它不来自手机自带的应用商店,而是从陌生网址直接下载安装包(即侧载APK)。

第三步:诱导授权,植入远程控制木马。安装过程中,骗子或地推会"热心"帮老人完成设置,引导开启无障碍服务、设备管理员、悬浮窗、短信读取等高危权限。这些权限一旦给出,App就具备了远程控制手机、读取和删除短信、模拟点击操作的能力。报道指出,有的地推还会"建议"老人把手机里多余的App删掉,制造一种"在帮你清理手机"的假象。

第四步:假卸载真潜伏。领完礼品后,老人按提示"卸载"这个App,以为就没事了。但木马极其隐蔽,会自动隐藏图标、把自己深埋在系统里,像寄生虫一样继续运行。武汉受害者的描述是:领完纸卸载App也不行,木马病毒已经植入手机。

第五步:深夜盗刷,神不知鬼不觉。骗子专挑后半夜受害人熟睡时动手,远程把手机静音、把屏幕调到最暗,避免亮屏或提示音吵醒主人。然后通过手机里的银行App和支付账户做"无感转账"和消费,转走后立即删除到账短信和验证码,让受害人第二天才发现钱没了。武汉这名女子半夜账户里两万多元存款消失,全程没有任何短信提醒。涉案团伙已被武汉黄陂警方依法刑事拘留。

为什么这套骗术能屡屡得手

它把几个真实的心理弱点和技术盲区叠加在一起,命中率很高:

  • 贪小便宜的诱饵足够真实。纸巾、鸡蛋是真的会发到手的,老人拿到实物后对"这个摊位是好人"的判断就被坐实了,警惕性大幅下降。
  • "下载个App"听起来再普通不过。如今领券、注册会员都要装App,老人很难意识到从陌生网址装一个App和从应用商店装App有本质区别。
  • 权限提示看不懂。无障碍、设备管理员这些权限名称对不熟悉手机的人毫无意义,地推一句"点这个就能领",老人就点了同意。
  • 木马刻意隐身。假卸载、隐藏图标、静音调暗屏幕,每一个细节都是为了让受害人在最长时间内毫无察觉,错过黄金止付窗口。
  • 受害人多为中老年,反馈链条长。很多老人不会第一时间查账户余额,等到发现异常,钱往往已经被分散转走。

高危信号:出现任何一个立即停手

1. "扫码必须下载App才能领礼品"

正规的便民活动、商超促销,扫码后通常是公众号关注、小程序页面或直接核销,几乎不会要求你专门下载安装一个独立App。一旦"领礼品"的前提是"先装个App",这是最强烈的危险信号。

2. App来自陌生网址,不是应用商店

真正的App都在手机自带的应用市场(华为、小米、OPPO、vivo、苹果 App Store 等)里能搜到。如果对方让你扫码后从一个陌生网页直接下载安装包,或提示"未知来源安装""继续安装",这种侧载方式是木马最常见的入口。

3. 安装时要求高危权限

领个纸巾的App,完全不需要读取你的短信、不需要无障碍服务、不需要设备管理员权限、不需要在其他App上层显示(悬浮窗)。一旦安装过程中弹出这些授权请求,立即取消并卸载。无障碍服务被滥用后,App可以模拟你的手指点击、自动完成转账操作。

4. 地推"热心"帮你操作手机

陌生人主动要拿你的手机帮你"设置一下""清理一下",是极危险的动作。他可能正在替你点掉权限确认、关闭安全提示、删掉能暴露木马的安全软件。自己的手机不要交给任何陌生人操作。

5. 卸载后手机仍有异常

如果你领完礼品卸载了App,之后手机却出现:莫名发烫、流量异常、夜里自己亮屏又熄屏、出现陌生的"系统升级"界面提示"请勿操作",这些都可能是木马仍在后台运行的迹象。央视报道的武汉案例里,受害者夜里就看到过一个持续约半小时、提示"请勿触碰"的所谓系统升级界面。

接到街边扫码领礼品时,怎么做才安全

  1. 不为小恩小惠扫陌生二维码。一包纸巾、几个鸡蛋,远不值你银行卡里的钱。看到"扫码免费领"的地摊,直接走开是最稳妥的。
  2. 真要扫,先看落地页域名。扫码后如果跳到要求下载App的页面,看清网址:正规政务、便民服务的域名以 .gov.cn 结尾,正规App只在官方应用商店分发。陌生网址、要你"下载安装包"的,一律不下。
  3. 只从官方应用商店装App。需要哪个App,自己打开手机自带的应用市场去搜索安装,绝不从别人发的链接或二维码直接装。关闭手机的"未知来源安装"开关。
  4. 对高危权限说不。任何App索要无障碍服务、设备管理员、短信读取、悬浮窗权限时都要警惕,与App功能无关的权限一律拒绝。
  5. 不把手机交给陌生人。地推说帮你"弄一下",礼貌拒绝,自己的手机自己拿。
  6. 给家里老人装上"国家反诈中心"App。这是公安部刑事侦查局官方推出的反诈应用,可拦截可疑App安装、推送最新诈骗预警,在各大官方应用市场免费下载。

万一已经中招,如何紧急止损

反诈部门多次强调,电信网络诈骗存在"黄金止付窗口",通常是钱被转走后的24至48小时内,越早行动追回概率越高。如果你或家人怀疑手机已被植入木马,按下面顺序立即行动:

  1. 立即给手机断网并关机。关闭WiFi和移动数据、直接关机,能切断木马的远程控制通道,阻止它继续操作。条件允许时取出SIM卡。
  2. 换一台安全的设备改密码。用另一部没问题的手机或电脑,修改网银、支付宝、微信支付的登录与支付密码,并通知银行临时冻结或挂失银行卡。常用银行客服:工行 95588、建行 95533、招行 95555、农行 95599。
  3. 拨打 110 报警并申请紧急止付。说明"扫码下载App后疑似被植入木马、银行卡被盗刷",请求紧急止付,公安会联动银行对收款账户发出止付指令。
  4. 拨打 96110 全国反诈专线。96110 由公安部反诈中心运营,可同步处置、提供后续指引。提供转账记录、扫码地点、App名称等信息。
  5. 到就近派出所正式报案做笔录。携带身份证、银行流水、转账截图、那个二维码或摊位的照片。立案回执是后续追偿和理赔的关键凭证。
  6. 把中招手机送去彻底清除或恢复出厂。木马会隐藏图标深埋系统,普通卸载清不掉。备份必要数据后恢复出厂设置,或请专业人员检测,确认木马清除前不要再登录任何金融App。
  7. 通过 12321 举报涉诈App和号码。12321 网络不良与垃圾信息举报受理中心可受理涉诈App、链接、号码举报,帮助切断骗子继续作案的通道。

另外要警惕"代追回"二次诈骗:报案后若有人自称"网警""黑客""律师"承诺付费帮你追回,全是骗子转手。正规追赃不收任何费用。

这类骗局会指向什么样的网址

这套骗局的核心环节,是扫码后跳到一个要你下载木马安装包的落地页。这些页面通常挂在临时注册的、地域性的廉价域名上,托管一个仿冒正规品牌的下载页,例如把"领取礼品"包装成某个看似正规的App官网。这类钓鱼下载页常用形如 free-gift-app-download[.]xyzlingquan-app[.]top 这样的陌生域名,很快上线、被举报后又换一个,因此你几乎搜不到它的正规背书。判断逻辑很简单:一个让你下载APK安装包、域名既不是官方应用商店、也不以 .gov.cn 结尾、还冒用了某个品牌名的"领礼品"页面,基本可以判定为木马诱导页。

SafeBrowz 如何拦截此威胁

SafeBrowz 采用 3 层检测架构:本地 + API + AI。

  • 第 1 层 - 本地检测:60+ URL 模式 + 550+ 品牌签名(含同形异义字符和 Punycode 变体)+ 社区白名单/黑名单,全部在浏览器扩展中直接运行,在页面渲染之前完成。可即时识别冒用品牌名、诱导下载安装包的钓鱼落地页模式。
  • 第 2 层 - API 检查:聚合 Google Safe Browsing、PhishTank、URLhaus、ScamAdviser 以及 30+ 诈骗 TLD 列表中的已知恶意域名。
  • 第 3 层 - AI 深度扫描(高级版):支持 100+ 语言的内容分析,通过我们的代理进行AI内容分析,可在数秒内识别仿冒正规品牌的新型变体页面。SafeBrowz 的检测引擎覆盖 550+ 品牌。我们的方法学只看页面本身的信号:当一个二维码指向的是非官方应用商店、非 .gov.cn 域名上的安装包下载页,并冒用了某个品牌名时,这就是判定的关键特征。

检测签名源自威胁情报研究和品牌数据库分析,而非用户浏览数据。SafeBrowz 永远不存储每个用户的网址历史。

SafeBrowz 是免费的 Chrome、Firefox、Edge 浏览器扩展。当你在手机或电脑浏览器里点开这类"领礼品"链接时,扩展会在页面渲染前给出警告。需要说明的是,浏览器扩展防的是网页层面的钓鱼落地页,而木马一旦已经装进手机,就要靠上面的关机断网、报警、恢复出厂来处置。为家中老人配置 SafeBrowz 免费扩展 能在源头多一道兜底,但最有效的还是把"不为小恩小惠扫码下载陌生App"这句话讲给他们听。

常见问题

领完礼品我已经把App卸载了,是不是就安全了?

不一定。央视和中新网的报道都明确指出,这类木马会自动隐藏图标、深埋在系统里,普通卸载清除不掉,受害人以为卸载了,木马仍在后台运行并在深夜盗刷。如果你装过来路不明的App,即使"卸载"了,仍建议立即关机断网、修改金融账户密码,并把手机恢复出厂设置或请专业人员彻底检测,确认干净前不要再登录银行和支付App。

木马是怎么做到深夜盗刷还不发短信提醒的?

骗子诱导安装时会引导开启无障碍服务、短信读取、设备管理员等高危权限。无障碍服务让App能模拟手指点击、自动完成转账操作;短信读取权限让它能拿到并立即删除验证码和到账提醒。再加上远程把手机静音、屏幕调到最暗,受害人熟睡时手机不亮不响,钱被转走也毫无察觉。这正是为什么对一个"领礼品"的App来说,索要这些权限是绝对的危险信号。

为什么骗子专挑中老年人?年轻人会中招吗?

报道指出,骗子选址在菜市场、超市门口等中老年人聚集的地方,是因为这一人群对智能手机操作不熟、对侧载APK和权限风险缺乏概念、领到实物后戒备心更低。但这不代表年轻人就免疫,任何人只要从陌生网址下载安装包、又随手授予了高危权限,都可能中招。防范的核心规则对所有年龄段一样:只从官方应用商店装App,不给与功能无关的高危权限。

钱已经被盗刷了,还追得回来吗?

有机会,但取决于速度。被转走后的24到48小时是黄金止付窗口,资金可能仍在涉案账户间流转,公安联合银行紧急冻结仍可拦回部分。第一时间给手机断网关机、用另一台设备改密码并联系银行冻结卡、拨打110申请止付、再拨96110,是最有效的组合。超过这个窗口,资金多数被分散转移,追回难度大幅上升,但仍必须正式立案,这是后续追偿和理赔的法律凭证。

怎么判断一个二维码或下载链接是不是安全的?

记住三条:一看是不是"必须下载独立App才能领",正规便民活动几乎不会这样要求;二看下载来源,正规App只在手机自带的官方应用商店里,让你从陌生网页装安装包的一律不下;三看域名,政务便民服务的官网以 .gov.cn 结尾,冒用品牌名又挂在陌生廉价域名上的"领礼品"页基本是钓鱼。拿不准时,先别下载,打开"国家反诈中心"App或拨96110核实。

给家里老人手机怎么设置能降低风险?

关键几步:关闭"未知来源安装"开关,只允许从官方应用商店装App;安装"国家反诈中心"App并开启来电预警;定期帮老人检查手机里有没有不认识的App、是否被授予了无障碍或设备管理员权限;反复叮嘱不要为领免费东西扫陌生码、不要把手机交给陌生人操作。再叠加浏览器里的 SafeBrowz 免费扩展 拦截网页层面的钓鱼下载页,从入口多一层防护。

底线总结

这套"扫码领礼品送木马"的骗局,核心剧本就一句话:用免费纸巾鸡蛋当诱饵,骗你从陌生网址装一个冒牌App,再用高危权限远程控制手机、深夜盗刷。央视、中新网、光明网反复强调的防范要点也很简单:不为小恩小惠扫陌生码、只从官方应用商店装App、不给与功能无关的高危权限、手机不交给陌生人。把这几句话告诉父母和身边的中老年朋友,比任何技术手段都管用。再配上手机里的"国家反诈中心"App 和浏览器里的 SafeBrowz 免费扩展,从街边二维码到网页落地页层层设防。骗子能得手的,永远是那些没听过、没记住、没设防的人。