iOS requiere que todo el código esté firmado antes de poder ejecutarse. Esto complica mucho las cosas cuando desea instalar malware persistente en iOS, ya que no solo tiene que colocar los archivos en el lugar correcto, también necesita parchear el kernel para que en el próximo reinicio ya no aplique la firma del código para que pueda ejecutar su malware.
Aquí hay un ejemplo de tal ataque. Los atacantes tenían un exploit para Safari que les permitía ejecutar código, pero también necesitaban otros exploits para poder parchear el kernel para deshabilitar la aplicación de la firma del código, efectivamente "jailbreaking" el dispositivo. Sin esas dos explotaciones adicionales, su malware no podría persistir.
Por otra parte,
Android le permite elegir si desea permitir aplicaciones desde Play store o desde fuentes que no son de confianza, sin embargo, no estoy seguro de que esta comprobación se realice solo en la instalación o en el tiempo de ejecución. A menos que sea lo último, el dispositivo aún es vulnerable a las vulnerabilidades que generan binarios maliciosos (sin involucrar al instalador) ya que la firma no se verificará en ellos.
El otro problema con Android es que la barra de calidad en Play Store es mucho más baja que su contraparte de iOS. Ha habido casos en los que el malware real se publicó en Play Store.
Las aplicaciones de iOS se ejecutan en un entorno limitado mucho más restringido que Android. Esto puede ser bueno o malo, ya que evita que las aplicaciones hagan cosas que pueden ser útiles en ciertos casos, pero por otro lado previene algunos ataques de aplicaciones maliciosas. Por ejemplo, en iOS, cuando presiona el botón de inicio, puede estar seguro de que volverá a la pantalla de inicio confiable del sistema operativo. En Android, nada impide que la aplicación anterior se dibuje sobre esa pantalla o incluso la simule por completo, lo que te hace pensar que estás abriendo otra aplicación en la que confías (¿administrador de contraseñas?) Mientras que en realidad aún estás en la aplicación maliciosa que simplemente imita la pantalla de inicio y el administrador de contraseñas en un intento de capturar su contraseña maestra.
Finalmente, aunque esto no se aplica a su pregunta, ya que ya eligió un dispositivo de confianza, en el mundo de iOS es mucho más fácil comprar un dispositivo limpio que garantice recibir actualizaciones. Puede comprarlo en Apple, un proveedor o incluso en una tienda de teléfonos, siempre que el dispositivo no sea falso, recibirá las últimas actualizaciones y el firmware que se ejecuta allí no se ha alterado. Por otro lado, con Android, podría tener el mismo dispositivo de hardware, pero dependiendo de dónde lo compre, se ejecutará un firmware diferente (a veces con un software espía incorporado del proveedor) y tendrá diferentes programas de actualización. Tampoco hay una manera fácil de diferenciarlos (algunos de los firmware del proveedor se parecen a los de reserva, además del hecho de que nunca obtendrás actualizaciones y probablemente haya software espía escondido allí).