Támadási vektor: sajnos előfordul, hogy valamelyik hirdetés-szolgáltatót törik meg, és a reklámokon keresztül megy a malware. Még egy érv a reklámblokkolók mellett. Ha tudod root-olni a készüléket, akkor /etc/hosts alapú szűrővel eléggé jól el lehet lenni, régebben használtam ilyet, a játékok sem tudtak reklámozni, és a legjobb, hogy aminél reklámra kellett volna kattintani a továbbhaladáshoz, azok simán mentek. YT-ot próbáld ki az f-froidon is elérhető NewPipe-al, az kiszűri a reklámokat.
Másik vektor: sms. Mivel a telefonok linkeket (sőt, van amelyik akár control kódokat is) feldolgoznak, sokszor sms-bem jön a link a backdoor-ra.
Harmadik vektor: androidos gyártó. Láttam én már karón varjút... Totál noname filléres kínai tableten gyárilag volt remote control. A gyártó által kiadott ROM-ban volt benne, rásdásul nem külön app-ként, hanem a homescreen app részeként, uninstallálni sem lehetett. Tablet kuka.
Ha a telefon rootkit-et kapott, akkor csak nagyon alacsony szintű újraírással tudod megmenteni. Hogy milyen szoftverrel érdemes vizsgálni, azt nem tudom, a "nagy" cégekben nem bízom.
Más: 10 éves gyereknek nincs szüksége telefonra. Nekem 3 van, tapasztalatból mondom. Nem telefon, gyerek :)