[spoiler]На мой взгляд, просто "дыра" - это еще ничего не значит. Трояны на телефонах сами собой не разводятся, его надо принести откуда-то извне. Иными словами, добровольно установить какую-то программу, в которой кроется что-то нехорошее. Что, кстати, вполне вероятно, если учесть, что приложения в Google Play никто особо не проверяет.
Но пока это теория. А на практике получается следующее. Базовый набор ПО вероятнее всего чист. По краней мере, если речь идет о аппаратах более-менее известных производителей. Нет им никакого смысла утягивать мой пароль к мобильному банку.
Остаются дополнительные приложения. Пара клиентов социальных сетей и мобильный банк. По здравой логике, отвечать за их безопасность должны не разработчики Android, а владельцы соцсетей и банков.