в том то и прикол что соблюдаю все меры предосторожности - не ставлю приложения из посторонних источников
это не является достаточным условием же.
То есть правило "не тащить кошек с помойки домой" - это полезная практика чтобы не завелись блохи, но от квартирных воров, от пожара или от шумных соседей - не защищает от слова "совсем".
Список уязвимостей:
https://source.android.com/security/bulletin/
Вот к примеру за февраль:
https://source.android.com/security/bulletin/2018-...
Дырок немеряно. А теперь попробуйте проверить, как давно к вашему телефону выходили обновления, и закрыты ли там все перечисленные дыры. А ведь бывает еще 0-day (свежак, который еще просто не успел попасть ни в какие списки, даже закрытые).
Про рут все верно
pfg21 написал.