Steht doch im ersten Post.
Infizierte Website mit infizierter APP.
Alternativ einfach eine "Bezahlapp" infizieren und in einen der gängigen "alternativen Stores" hochladen.
Nicht sofort ausbrechen lassen - sondern erst so 1-2 Wochen nach Installation.
Dann möglichst ein Tool, was ohnehin Root braucht - oder eben auf dem Gerät nach einer solchen App suchen und dann ein "Update" dafür anbieten.
Ich behaupte mal, daß es maximal einen Nachmittag kostet, solch eine App "zu stricken".
Ungerootetes Phone = nichts passiert. Tolle App.
Gerootes Phone = Ausbruch nach 2 Wochen.
Oder aber man packt es in eine "Wallpaper & Lockscreen App" - dann hat man ja ohnehin die passenden Berechtigungen - und wenn es erst nach einer gewissen zeit passiert, vermutet niemand, daß es an dieser App liegt.
Gleichzeitig unterläuft man damit dann die Backups - denn wer speichert schon 2 Wochen alte Backups, wenn er täglich welche erstellt?
Aber ich will hier nicht noch jemanden auf Ideen bringen...