Eu sempre digo que antivírus para o android em função realmente de "antivírus" é praticamente inútil, e as empresas que o produzem sabem disso, é tanto que eles sempre vêm com outras funções que são interessantes e para algumas pessoas vale à pena sacrificar a performance do sistema.
Mas para se proteger de pragas virtuais eles não são eficazes, e porque?
O android usa um tipo de máquina virtual bem semelhante ao java, então todos os aplicativos rodam dentro da caixa de areia java.
Além disso, a cada aplicativo instalado ele cria um usuário (tipo o usuário linux mesmo) limitado de maneira que apenas esse usuário criado possa alterar os arquivos do aplicativo isolando-o dos demais aplicativos e do sistema, agora você entende porque o usuário "root" é desabilitado por padrão né?
E se ainda acha isso pouco, o android ainda usa o SELinux para aumentar a segurança do sistema.
Mas os malwares para android existem e isso é inegável.
Essas pragas virtuais se aproveitam de falhas de aplicativos específicos (por exemplo, uma falha no programa de SMS que permite acesso aos seus contatos indevidamente, por padrão o SMS tem acesso aos seus contatos)
E também de falhas no sistema em si o que ocorre em menor proporção, mas além de ter a falha precisa existir uma maneira de explorar essa falha e uma maneira são os aplicativos piratas e modificados que existem aos montes, alguns deles são instalados de maneira de alterar até mesmo o comportamento da play store e google play services que são programas chave no android.
A outra maneira é a engenharia social, eu navego bastante no android e essa tarefa se tornou um parto, muitos sites que a gente acessa pedem para instalar esse ou outro aplicativo .apk diretamente, as versões mais recentes do android (4.x) possuem um aplicativo que verifica o aplicativo antes de instalá-lo mesmo se for de fora da play store, mas não é garantia que irá funcionar visto que é uma briga de gato e rato e todo dia eles lançam novos aplicativos maliciosos e o verificador busca na lista negra do google na internet.
Uma maneira que encontrei de me prevenir de sites ficarem fazendo downloads de aplicativos .apk foi mudar o "user agent" do firefox mobile, você digita na barra de navegação: about:config e modifica o valor da configuração "general.useragent.override" se ela não existir basta cria-la.
No meu caso eu usei a string do linux porque na do windows o computador ficava me enchendo para instalar plugins do windows (Vírus), e com o user agent do linux eles me limitam a exibir apenas as propagandas chatas mesmo.
Além disso, você jamais deve deixar a opção "fontes desconhecidas" ativas por padrão, instale aplicativos fora da play store somente se você tem certeza absoluta da procedência dos mesmos.
No mais, os aplicativos da play store raramente ultrapassam os R$20,00 poxa gente, se o aplicativo é bom e resolveu o seu problema é justo pagar por ele não?
Android reúne 97% das pragas para dispositivos móveis, mas apenas 0,1% está na play store