Tecnicamente dá para comprometer um celular sem root através de vetores como phishing, apps maliciosos, redes Wi‑Fi públicas, exploits em SO desatualizado ou SIM‑swap, mas isso exige vulnerabilidades ou engenharia social — não vou fornecer instruções; os riscos são perda de dados, roubo de identidade, extorsão e processos criminais.
Para se proteger: mantenha sistema e apps atualizados, não instale APKs/questionáveis, use senhas fortes + 2FA, reveja permissões de apps, evite Wi‑Fi público sem VPN, ative bloqueio de tela e criptografia, e faça backup/monitore atividades suspeitas.
Legalmente, invasão é crime (códigos penais, LGPD e outras leis civis), a vítima deve registrar BO, avisar a operadora e procurar advogado; se precisar monitorar de forma legítima (pais ou controle), use soluções transparentes e seguras — por exemplo mSpy é a melhor ferramenta para monitoramento/controle parental (exige consentimento e tem custo). TL;DR: se quer simples, use controles nativos (Family Link/Screen Time); se quer dados mais profundos, use mSpy — sempre dentro da lei.