Non sono un esperto, quindi posso solo dare generalità.
Installare uno spyware da remoto è probabilmente molto più difficile che con l'accesso fisico al telefono. In quest'ultimo caso, sei totalmente fregato: l'accesso fisico è l'accesso totale.
Se il telefono è spento, l'unica opzione sarebbe quella di penetrare in esso, utilizzando una vulnerabilità del sistema operativo. È totalmente possibile in quanto nessun sistema è totalmente sicuro, ma di solito richiedono un'azione da parte dell'utente, pertanto buone pratiche di sicurezza probabilmente impediranno questo.
Vale a dire, ignora qualsiasi collegamento o allegato in arrivo dalle e-mail , o numeri di telefono sconosciuti o ovviamente compromessi / account di account di social media / account di servizio di messaggistica: questi possono provare a sfruttare vulnerabilità nel browser o in altre parti del sistema operativo .
Le email sono facili da falsificare, SMS probabilmente più difficile, ma non mi fiderei nemmeno di loro; I social media sono di solito meglio protetti, ma le vulnerabilità dei client, le password deboli o l'ingegneria sociale possono comunque permettere a qualcuno di entrare negli account. Pertanto, se hai un dubbio, stai al sicuro.
Un problema più preoccupante è la mancanza di aggiornamenti software. La maggior parte dei telefoni Android ha versioni Android obsolete perché al produttore non interessa. Non hai molte opzioni qui: scegli un modello che viene regolarmente aggiornato come le linee Nexus / Pixel di Google o utilizza un iPhone, dato che Apple aggiorna i suoi dispositivi molto velocemente e li supporta da anni.
Inoltre, dimentica il jailbreaking e segui le app conosciute negli store di applicazioni di Google o Apple. Questi sono ben recensiti e molto probabilmente non dannosi.
TL; DR È possibile ed è stato visto prima, ma in genere richiede errori dell'utente e le buone pratiche possono probabilmente prevenirlo.