一款用于窃取 Facebook 登录凭证的恶意 Android 应用目前在 Google Play 商城上已经被安装超过 10 万次，而且该应用目前仍可下载（发稿时已下架）。这款恶意程序被伪装成“Craftsart Cartoon Photo Tools”卡通化应用，允许用户上传图片并将其转换为卡通渲染。

过去 1 周，安全研究人员和移动安全公司 Pradeo 发现，该 Android 应用包括一个名为“FaceStealer”的木马，它显示一个 Facebook 登录屏幕，要求用户在使用该应用前登录。

据 Jamf 安全研究员 Michal Rajčan 称，当用户输入他们的凭证时，该应用程序将把它们发送到 zutuu[.]info [VirusTotal]的命令和控制服务器，然后攻击者可以收集这些信息。

除了 C2 服务器，恶意的 Android 应用程序将连接到 www.dozenorms[.]club URL [VirusTotal]，在那里发送进一步的数据，而且过去曾被用来推广其他恶意的 FaceStealer Android 应用程序。

正如Pradeo在其报告中所解释的那样，这些应用程序的作者和分销商似乎已经将重新包装的过程自动化，并将一小段恶意代码注入到一个其他合法的应用程序中。然而，一旦他们登录，该应用程序将提供有限的功能，将指定的图片上传到在线编辑器http://color.photofuneditor.com/，该编辑器将对图片应用图形滤镜。

由于特定的应用程序仍在Play Store上，人们可能会自动认为该Android应用程序是值得信赖的。但不幸的是，恶意的Android应用有时会潜入Google应用商店，并一直保留到从差评中发现或被安全公司发现。