si de verdad es posible infectar un móvil Android con imágenes enviadas por Whatsapp o Gmail.
Si las versiones de los programas que estas utilizando tienen algun tipo de fallo que permita ejecucion de código y el atacante sabe como utilizarlo no hace falta que ejecutes ningun programa, el codigo se ejecuta solo.
Por ejemplo VLC tuvo en su dia problemas de ejecucion de codigo, adobe acrobat, image magic, y en general un montón de programas adolecen de ese tipo de fallos. En cuanto se descubren los fallos se suelen sacar nuevas versiones que permiten que esos fallos se corrijan y no se pueda desde esa nueva version realizar una ejecución.
Los fallos que han salido ultimamente de whatshap que permiten bloquear el programa con un mensaje, son ejemplos de que no hay programa que este libre de fallos. En muchas ocasiones el conseguir que se pare el programa suele ser la puerta a poder ejecutar codigo dentro de el. Mayormente a veces los programas se salen porque se esta haciendo al ordenador ir a una direccion de memoria donde no hay nada que ejecutar. Si esa parte de la memoria se llena con instrucciones puedes llegar a ejecutar codigo (siempre en condiciones muy concretas de fallos concretos no quiere decir que los ultimos fallos de whatshapp lo permitan). Mayormente los exploits son eso, aprovecharte de errores para cambiar el funcionamiento normal de los programas en unas condiciones concretas.
Eso si, de ahi a que tu amigo haya encontrado una vulnerabilidad no conocidad de whatsapp (o del visor de imagenes, de la galeria, o cualquier otro programa de tu android) y que le permita el control remoto de tu dispositivo solo enviandote fotos ya... no se que decirte.