Para tomar control de un Android lo más utilizado es instalarle un malware que te de una reverse shell. Lo podes hacer de dos formas, pidiendo prestado el celular de la víctima e instalandolo vos mismo, o camuflandolo junto con otra app legítima y convenciendo a la víctima que se instale esa app legítima que sin darse cuenta también está instalando un malware. Ésto suele ser más facil que en PCs ya que en Android casi nadie utiliza antivirus. Lo único sospechoso que puede presentar una app maliciosa es la cantidad de permisos que te pide al instalarla. Pero si sos vos mismo el que la instala, entonces estarías salteando la parte en la que la víctima acepte los permisos.
Volviendo a tu pregunta, más allá de la posibilidad de instalar malware, existen algunas vulnerabilidades en dispositivos Android. La peor de todas en una época permitió tomar control de un Android tan solo enviandole un mensaje multimedia con un .mp4 malicioso. La victima solamente al recibirlo, ejecutaría el código malicioso. Éste fallo se llamo stagefright, y afectaba a versiones viejas de Android. (4.* y 5.*), de todas formas se siguió investigando sobre el mismo fallo y se descubrieron otras posibilidades para afectar a versiones más actuales y usando otras técnicas. Mira ésto:
https://www.rapid7.com/db/modules/exploit/android/browser/stagefright_mp4_tx3g_64bitA través de éste exploit podes afectar ese fallo pero a través de otro vector. Básicamente abre un servidor que sirve el archivo malicioso. Si le enviás el link que lleva a tu servidor y la víctima desde un celular vulnerable lo abre, te estarías metiendo a su celular asi de facil. Pero aca viene la parte interesante. Dentro de tu red wifi podes combinar éste ataque con otro (DNS spoofing) a través de la herramienta ettercap por ejemplo, para redirigir a todos los de tu wifi a la página que tiene el archivo malicioso, entonces si la víctima tiene uno de los dispositivos vulnerables (Nexus de google en éste caso), podrías tener acceso al celular cuando la víctima visite cualquier página, ya que sería redirigida a tu servidor que hace el ataque.
También hubo otras fallas que afectaron a Samsung (a través de KNOX), por ejemplo:
https://www.rapid7.com/db/modules/exploit/android/browser/samsung_knox_smdm_urly ésta falla puede ser explotada exactamente igual que la anterior.
Hay que tener en cuenta que éstas fallas solo pueden afectar a un limitado número de dispositivos y que una vez adentro podes acceder a los registros de SMS, llamadas, contactos del celular, podes obtener su ubicación por GPS, podes ver a través de la camara trasera y frontal, consultar a la base de datos sqlite, ejecutar comandos, realizar llamadas... En otras palabras, podes utilizar remotamente todas las funciones que te brinda el dispositivo.
Después existen los ataques a las redes móviles, para que el tráfico de los SMS y llamadas pasen por vos. En éstos ataques vos sos el que transmite en determinada frecuencia (2G, 3G, 4G), y al estar cerca de los teléfonos, los mismos intentan conectarse al transmisor más cercano. hay que tener en cuenta que cada generación fue incorporando distinta seguridad en cuando a cifrado y autenticación. Por ejemplo, en 2G (GSM), la estacion transmisora no se autentica con el celular, por lo que simplemente colocando un transmisor de 2G y estando cerca de los celulares de las víctimas, ya se conectarían a ti y todos los SMS, etc estarían pasando por vos. Como 2G es el protocolo más viejo, podrías crear un jammer para inhibir las frecuencias de 3G y 4G, obligando a la víctima a conectarse a través de 2G y pasando por vos.
Saludos!