Não funciona assim.
No Android o sistema roda em containers. Cada app tem seu container, e nenhum app pode acessar o container do outro. O maximo que um app malicioso pode fazer no Android é limitado pelas permissões que vc liberar pra ele:
Acesso a notificações, acesso a gravar tela (e nem funciona muito pois apps podem bloquear gravação de tela), apps de teclado malicioso que contém funções de gravar o que o usuário digita.
Fora isso, é impossivel um app malicioso fazer qualquer merda sem a interação do usuário, a não ser que vc literalmente usa um Android versão muito antiga e alguem conseguiu achar um exploit por falta de Patch.
Como desenvolvedor Android, muitas melhorias na segurança do sistema me deixaram até msm frustado. Hj para vc baixar algo no celular do cara é uma desgraça, não existe mais acesso ao storage, tudo precisa ser acessado via SAF, ou requisitar permissão ao usuário para utilizar UMA PASTA que não seja as pastas de media, pois estas precisam de permissão para cada.
Android antigamente era bem velho oeste dos mobile, hj a Google acabou com a festa com essa divisão de permissões normais e perigosas.
Antivírus no seu Android só faz uma coisa: Gastar mais bateria, vc executar um video potencialmente malicioso no seu Android não acontecerá nada.
Porem, não garanto nada dito a cima se seu Android for rooteado, pois vc tirou literalmente todas as camadas de segurança com root.
Curiosidade: é o app que drenou BTC de hot wallet do usuário, que tipo de permissão será que foi dada.