一个叫做Trojan-Banker.AndroidOS.Tordow.a的恶意软件家族已经开始在四处制造受害者了。他们会感染智能手机，并深度隐藏在设备中，最后窃取用户敏感信息，然后上传至恶意软件开发者服务器上。

这一恶意软件家族是在2016年的2月首次出现，当时感染用户的方式主要是通过安卓第三方应用市场。

卡巴斯基安全实验室的恶意软件分析师Anton Kivva说，大多数传播Tordow的应用都是现在流行的安卓应用程序的盗版产品，如VKontakte,DrugVokrug,Pokemon Go, Telegram,Odnoklassniki和 Subway Surf.

攻击者们拿到这些应用，查看其源代码，然后将自己已经写好的恶意代码植入其中，并重新将应用打包，然后将新制作的应用放入到第三方应用商店上。

有些应用千万不能下载

用户一不小心就有可能下载了这些应用，打开应用便会触发恶意代码，从而恶意行为开始上演。

Kivva称这些恶意代码实质上是一种下载工具，它们会将更多的恶意代码吸引到用户的设备上。有些代码包种含有漏洞利用程序，它们能帮助恶意软件获得设备的root权限。

在获得root权限后，Tordow便能完全掌控这台设备了。研究者说他在木马的源代码中发现了一些恶意功能，比如偷取联系人信息，打电话，发送，偷取并删除短信。

另外，这一木马病毒还能下载并在设备上运行文件、安装或卸载应用、屏蔽对于一些特别网页的访问、重命名设备上的文件、将文件上传到某一在线服务器以及重启手机。

从本地的一份文件中可以看出，Tordow所瞄准的目标是安卓股票浏览器和谷歌浏览器的数据库。这个数据库不仅包含了用户的浏览历史，而且含有用户密码。另外，这个病毒还瞄准了用户的照片。

在安卓手机木马中，这不是第一个可以获取root权限的木马，也不是第一个能够窃取用户照片和浏览记录的木马。比如，Android.Loki木马也能够获得设备的root权限；Marcher 木马能够偷取很多安卓应用的登录信息，当然还有更多能够拿到root权限的木马：Godless、Ztorg、Libskin、Matrix、Rootnik、Shuanet。