La seguridad del ecosistema Android se basa en los permisos. Para poder realizar determinadas acciones las aplicaciones necesitan tener establecidos ciertos permisos del sistema en el archivo manifest o, de lo contrario, no deberían tener acceso a todo aquello que no esté especificado explícitamente.

Una nueva vulnerabilidad detectada en este sistema operativo puede llegar a permitir que aplicaciones maliciosas realicen llamadas desde los terminales de las víctimas sin los permisos correspondientes, de forma que el usuario instala la aplicación maliciosa desde la Play Store, o desde cualquier otra tienda, revisa los permisos y al ver que no tiene acceso a la función de realizar llamadas, generalmente confía en que sea cierto.

LEER MAS: http://www.redeszone.net/2014/07/08/un-fallo-en-android-permite-cualquier-aplicacion-hacer-llamadas/