Sì.
Gran parte delle applicazioni malware Android semplicemente abusano della api e pretendono di fare una cosa (ad es. un gioco innocente), ma poi fanno attività dannose (iscriviti a sms premium, senza root).
Qualsiasi applicazione che fa uso di WebViews e consente l'esecuzione di javascript si aprono agli attacchi javascript standard (XSS). Infatti recentemente una vulnerabilità è stata divulgata nella vecchia applicazione del browser in qualche modo correlata a questo. Anche questo era senza root.
L'attacco Man in the middle può essere fatto semplicemente connettendosi a un hotspot wifi insicuro, senza root (dal punto di vista della vittima).
Le applicazioni che non si autenticano con le loro API e server back-end possono essere soggette a una serie di attacchi relativi allo sniffing / spoofing, senza root.
Quindi sì, root non è necessario in tutti gli attacchi maligni su Android.