Non necessariamente
I sistemi operativi in generale e Android specificatamente, implementano un modello di privilegio per accedere ai dati (quando si installa un'app, è possibile decidere quali autorizzazioni si desidera assegnare. È inoltre possibile modificare tali autorizzazioni in un secondo momento). Se un'applicazione viene rilevata da una parte di codice dannoso, avrà lo stesso livello di privilegio dell'applicazione interessata.
Se l'app interessata ha le autorizzazioni per leggere il contenuto del file, il malware può sicuramente accedere ad alcuni dati di altre applicazioni (ad esempio, le applicazioni di file explorer possono mostrare le tue foto di whatsapp). È buona norma che le applicazioni evitino di archiviare dati sensibili nei file, ma se necessario, quindi crittografarli.
Ovviamente, tutto ciò non impedisce al malware di sfruttare una vulnerabilità per ottenere i privilegi di root, ma questo è un problema diverso.