从上表可以看出，即使在乌克兰和澳大利亚遭受到攻击的用户数量与俄罗斯的实际数量无异，这些用户在总量中所占的比例也是如此。这意味着除了俄罗斯，澳大利亚和乌克兰的Android智能手机用户应该意识到，他们受到银行恶意软件攻击的可能性要高于其他大多数国家。

Android银行恶意软件活动的主要变化

当然，统计数据不是我们用来观察威胁态势变化和发展的主要工具。我们的关键方法是分析野外发现的恶意软件。我们总共在2016年发现了五个新的银行恶意软件家族，远远低于2015年我们所发现的新的木马家庭。

新的发现

这些新的恶意软件家族中最危险的是Tordow（TrojanBanker.AndroidOS.Tordow.a）。首先，这个恶意软件能够滋生在被攻击的设备中。一般来说，在这个程序之后，任何恶意软件都可以窃取任何东西，但是我们将Tordow定义为银行特洛伊木马，因为我们已经看到它正在寻找银行凭证。除了获得root权限的能力外，它还具有模块化结构–根据特定任务，特洛伊木马能够执行的功能列表可能会有所不同，包括正在从命令和控制服务器下载的新功能。

Fareac是2016年另一个危险的新家族。这是一个假的应用程序，可以为用户的手机充值并添加信用额度，但应用程序实际上仅克隆了巴西用户的信用卡。它已通过GooglePlay进行传播。我们还发现了三个相当简单而又危险的木马。Gatewis（TrojanBanker.AndroidOS.Gatewis）可以拦截短信，显示钓鱼页面，并发出USSD请求，用于重定向电话呼叫等。Ledoden木马具有或多或少相同的功能列表，但它也可以自动订阅受害者的设备来取消高级短信订阅。第三个相当有趣的恶意软件家族，被发现于2016年，被称为Nomo。它的主要特点是它是用.net编程语言编写的。因此，恶意软件文件的最终大小比用Java编写的Android（恶意软件编写者更常用的语言）大10-20倍。我们花了一些时间思考为什么犯罪分子会在恶意软件的开发中使用.net，并得出了结论，也许他们认为这可以帮助他们更好地规避检测——代码被混淆，并且需要解释器的帮助才能使恶意软件在Android上工作。

已知恶意软件家族的发展情况

除了在2016年发现了新家族外，我们已经观察到已知家族的一些发展情况。我们已经提到了Svpeng在流行的移动浏览器中的漏洞的帮助下取得的活动进展。这并不是唯一的变化。

例如，Faketoken木马已经更新了功能，允许它作为加密的勒索软件，以及模块化的能力允许它显示超过2000个银行应用程序的假登录钓鱼窗口。MarcherTrojan采用网页注入技术，允许它在浏览器中显示假数据的输入字段。对于PC笔记本电脑的木马程序来说，这是一个相当普遍的技术，至少根据我们的观察，到目前为止，还没有其他Android银行恶意软件家族使用这种技术。

Gugi银行木马采用了几种技术，允许它绕过最新版本的Android操作系统中引入的一些安全措施。根据我们现在观察的内容来看，这些技术或多或少是成功的，因为现在我们可以看到其他一些家族采用了率先在Gugi中引入的一组特定的新功能。

注意你的智能手机

说现在有关银行木马的各种流行病都是现在才发生的有点过分了。在这种类型的移动恶意软件的全球化情况下，事情或多或少是平静的。然而，我们正在观察几组犯罪分子，他们不断更新恶意软件的新功能，将资源投入新的传播方式和开发规避检测的技术。这一切都意味着他们在做的事情对他们来说看起来很有意义——换句话说，他们从他们的活动中获得了经济利益。因此，我们建议基于Android设备的所有用户，特别是安装了金融应用程序的设备，在上网和使用应用程序时要非常谨慎。有猎食者在手机上寻找你的财务数据，这些猎食者只有做好要坚持下去的准备，他们才能取得成功。