Без рут доступа, трояны могут сидеть в андроид только как легальное приложение, с ограниченным доступом к данным и перефирии. Классический пример таких Троянов - приложения Яндекс вроде возможно они координируются и с другими, например сбер), у компании есть(как минимум был несколько лет назад, маловероятно что они это изменили), несколько приложений запрашивают доступ к информации только той что каждой нужно, типа одно берёт контакты, другое геопозицию, третье доступ к информации о звонках, и действуют сообща, к примеру приходит входящий звонок, тут же определяется кто где и пытается ещё микрофон запись сделать.
Так делает и Гугл и Китай, но они производители, своего трояна ставят на заводе.
Про сторонние прошивки - доверять что они ничего не крадут либо искать исходники, адаптировать, собирать,.. эта работа очень большая и чем больше тебе нужно гарантий, тем дороже она стоит.