Inwiefern sind Nutzerrechte bei Android überhaupt relevant?

Unter SailfishOS kann ich einfach Apps installieren, ohne mich mit meinem Root-Passwort zu authentifizieren. Die Storeman-App, die ich installiert habe, kann ihrerseits wiederum auf pkgcon zugreifen, ohne nach dem Root-Passwort zu fragen (auf der Kommandozeile kann ich das allerdings nicht).

Wie ist das denn bei Android? Wenn ich unter SailfishOS Android-Apps installiere, muss ich auch nichts authentifizieren, ich gehe also davon aus, dass es da genauso ist. Wenn ich es also schaffe, meinen Code auf dem Gerät des Nutzers zu installieren, habe ich offenbar alle relevanten Rechte. Ich kann vielleicht keine Systemdateien überschreiben, aber warum sollte ich das tun? Ich kann Bitcoins minen und Daten abgreifen, und ich kann mich persistieren.