Lo más fácil es hacerse con la cuenta de administrador del dispositivo, y luego pedir una instalación remota.
Aunque el dispositivo esté apagado, cuando se encienda se instalará esa app.
Por ejemplo eso funciona con la cuenta de la tienda de Google. Por supuesto quien tiene el teléfono puede entonces desinstalar la app, o ver que se ejecuta en "app running".
También hay herramientas de gestión remota preinstaladas como el gestor de dispositivos de Google, que puede localizar, hacer sonar y apagar remotamente un dispositivo en propiedad.
Un hack menos conocido es el ataque Men In The Middle. El usuario se conecta a una red WiFi conocida, o gratuita, y luego utiliza el teléfono normalmente. Entonces todo el tráfico entre el usuario e internet puede ser interceptado a través del router. Los correos electrónicos no están encriptados por defecto, y también las imágenes en las aplicaciones de mensajería, por lo que cualquier atacante puede obtener una buena cantidad de información sin empezar a desencriptar nada. También entrar en una red libre es una acción por defecto que no requiere el consentimiento del usuario.
El mayor agujero es siempre la persona que lo usa. Prestar el teléfono, dejarlo desbloqueado en el escritorio mientras se va al baño, instalar apps que no se necesitan o no cuidar la cuenta de administrador son hábitos peligrosos.
Si el atacante tiene un acceso físico al dispositivo, se considera una brecha crítica de seguridad, y si más tarde se recupera el dispositivo debe considerarse no confiable.
Ser paranoico tampoco ayuda, puede ocurrir que se bloquee por sí mismo por no recordar la contraseña o instalar un antivirus que no sirve para nada y que sí es un spyware.