Forskargruppen, från University of California, Berkeley, visade hur en skadlig applikation kunde installeras på en telefon som skulle tillåta en angripare att spåra telefonens plats, spela in konversationer och till och med ta bilder.
Applikationen skulle kunna installeras utan användarens vetskap eller samtycke och skulle inte upptäckas av de flesta antivirusprogram.
Forskarna säger att deras resultat har allvarliga konsekvenser för integritet och säkerhet, och att mobiltelefonanvändare bör vara medvetna om riskerna.
De rekommenderar att användare endast installerar applikationer från pålitliga källor och att de håller sina telefoner uppdaterade med de senaste säkerhetsuppdateringarna.
Forskargruppen utvecklade också ett verktyg som kan upptäcka och ta bort den skadliga applikationen.