窃取 Facebook 凭据的恶意 Android 应用程序已通过 Google Play 商店安装超过 100,000 次，该应用程序仍可供下载。

Android恶意软件伪装成一个名为“Craftsart Cartoon Photo Tools”的卡通化应用程序，允许用户上传图像并将其转换为卡通渲染。

过去一周，安全研究人员和移动安全公司 Pradeo 发现 Android 应用程序包含一个名为“ FaceStealer ”的木马，它会显示一个 Facebook 登录屏幕，要求用户在使用该应用程序之前登录。

根据 Jamf 安全研究员 Michal Rajčan的说法，当用户输入他们的凭据时，该应用程序会将其发送到位于 zutuu[.]info [ VirusTotal ] 的命令和控制服务器，然后攻击者可以收集这些信息。

除了 C2 服务器之外，恶意 Android 应用程序还将连接到 www.dozenorms[.]club URL [ VirusTotal ]，进一步的数据被发送到该地址，过去曾被用于推广其他恶意 FaceStealer Android 应用程序。

正如 Pradeo 在其报告中解释的那样，这些应用程序的作者和分销商似乎已经自动化了重新打包过程，并将一小段恶意代码注入到原本合法的应用程序中。

这有助于应用程序通过 Play 商店审查程序，而不会引发任何危险信号。一旦用户打开它，除非他们登录到他们的 Facebook 帐户，否则他们不会获得任何实际功能。

但是，一旦他们登录，该应用程序将通过将指定的图像上传到在线编辑器 http://color.photofuneditor.com/ 来提供有限的功能，该编辑器将对图片应用图形过滤器。

然后，此新图像将显示在应用程序中，用户可以在其中下载或发送给朋友。泰国服务器租用原生IP？泰国服务器租用适合做跨境电商业务

由于许多应用程序不必要地要求用户登录服务器，在许多情况下，Facebook 用户已经对这些登录提示变得麻木，并且更常见的是在不怀疑的情况下输入他们的凭据。

麻烦的迹象

尽管这些卡通化应用程序可能很受欢迎和有趣，但人们在安装要求他们输入生物特征数据（他们的面部图像）等敏感信息的软件时应该格外小心。

这些应用程序在远程服务器上执行图像更改并应用过滤器，而不是在本地设备上，因此您的数据被上传到远程位置，并且有被无限期保存、与他人共享、转售等风险。

由于特定应用程序仍在 Play 商店中，因此人们可能会自动假设 Android 应用程序是值得信赖的。但不幸的是，恶意 Android 应用程序有时会潜入 Google Play 商店并一直存在，直到它们被差评检测或被安全公司发现。

但是，在许多情况下，通过查看他们在 Google Play 上的评论，可以发现欺诈和恶意应用程序。

正如您在下面看到的，“Craftsart 卡通照片工具”的用户评论绝大多数是负面的，在可能的 5 分中总共只有 1.7 颗星。此外，许多评论警告说该应用程序的功能有限，需要您先登录 Facebook。

其次，开发者的名字是“Google Commerce Ltd”，表明它是由谷歌开发的。此外，列出的联系方式包括随机人的 Gmail 电子邮件地址，这是一个很大的危险信号。

我们访问了托管在 Blogspot 上的开发者页面，以阅读该项目的隐私政策，我们在那里发现了一个不同的电子邮件地址，因此甚至出现了不匹配的情况。

最后，我们尝试向作者发送一封电子邮件，以对 Pradeo 的指控发表评论，但其中一个地址甚至不存在

对于您在智能手机上安装的每个应用程序，这似乎是过度审查，但它应该是对固有风险应用程序的标准检查程序。

Pradeo 已告知 Google Craftsart Cartoon Photo Tools 应用程序的性质，Bleeping Computer 也已向 Play Store 团队发送了一条消息，因此 Google 应尽快将其删除。

但是，那些在其设备上安装了该应用程序的人应立即将其删除，重置其 Facebook 帐户，并启用双重身份验证以提供额外保护。