一款用於竊取Facebook 登錄憑證的惡意Android 應用目前在Google Play 商城上已經被安裝超過10 萬次，而且該應用目前仍可下載（發稿時已下架）。這款惡意程序被偽裝成“Craftsart Cartoon Photo Tools”卡通化應用，允許用戶上傳圖片並將其轉換為卡通渲染。

過去1 週，安全研究人員和移動安全公司Pradeo 發現，該Android 應用包括一個名為“FaceStealer”的木馬，它顯示一個Facebook 登錄屏幕，要求用戶在使用該應用前登錄。

據Jamf 安全研究員Michal Rajčan 稱，當用戶輸入他們的憑證時，該應用程序將把它們發送到zutuu[.]info [VirusTotal]的命令和控制服務器，然後攻擊者可以收集這些信息。

除了C2 服務器，惡意的Android 應用程序將連接到www.dozenorms[.]club URL [VirusTotal]，在那裡發送進一步的數據，而且過去曾被用來推廣其他惡意的FaceStealer Android 應用程序。

正如Pradeo在其報告中所解釋的那樣，這些應用程序的作者和分銷商似乎已經將重新包裝的過程自動化，並將一小段惡意代碼注入到一個其他合法的應用程序中。然而，一旦他們登錄，該應用程序將提供有限的功能，將指定的圖片上傳到在線編輯器http://color.photofuneditor.com/，該編輯器將對圖片應用圖形濾鏡。

由於特定的應用程序仍在Play Store上，人們可能會自動認為該Android應用程序是值得信賴的。但不幸的是，惡意的Android應用有時會潛入Google應用商店，並一直保留到從差評中發現或被安全公司發現。