Sí.
Gran parte de las aplicaciones de malware de Android simplemente abusan de la API y afirman hacer una cosa (por ejemplo, un juego inocente) pero luego realizan actividades maliciosas (suscribirse a SMS Premium, sin root).
Cualquier aplicación que use WebViews y permita la ejecución de javascript se abre a ataques de javascript estándar (XSS). De hecho, recientemente se reveló una vulnerabilidad en la aplicación del navegador anterior relacionada con esto. Esto también fue sin raíz.
El hombre en el centro de los ataques se puede hacer simplemente conectándose a un punto de acceso wifi inseguro, sin root (desde la perspectiva de la víctima).
Las aplicaciones que no se autentican con sus API y servidores back-end pueden estar sujetas a una serie de ataques relacionados con el rastreo / suplantación de identidad, sin root.
Entonces, sí, la raíz no es necesaria en todos los ataques maliciosos en Android.
Lea otras preguntas en las etiquetas android