Prinzipiell liegst du richtig, es ist ein Unding was Firmen wie Samsung & Co. hier abziehen. Die Situation hat sich zumindest durch Googles Bemühungen die Sicherheitsupdates herstellerunabhängig auszurollen verbessert, aber es ist trotzdem noch ein langer Weg. Auch bis die ganzen EOL-Geräte tatsächlich mal verschwinden. An sich ist Android ein sehr sicheres mobiles Betriebssystem und auch von der Sicherheits-Architektur her durchdacht - der "Freiheitsgedanke" ist hier das "Problem". Würde Google den Sack tatsächlich zumachen, und die Installation von unsignierter Software (aus fremden AppStores) verbieten, hätten sie schlagartig eine Menge Probleme gelöst und würden schnell das Sicherheitsniveau von Apple erreichen. Die allermeiste Malware für Android kommt aus inoffizellen AppStores (China!) und raubkopierter oder gecrackter Software, die hauptsächlich auf hoffnungslos veralteten und ungepatchten Geräten installiert wird. Anders formuliert: Das beste Sicherheitssystem der Welt hilft dir nicht viel, wenn der Benutzer wie ein Schimpanse alles herunterlädt und installiert, was er in die Finger bekommt. Oft argumentiert, aber unwahr: Apples iOS ist ja soviel sicherer - wäre das wahr, gäbe es keine Jailbreaks, die zumeist auf Privilege Escalation durch Buffer Overflow resultieren
Im Endeffekt ist dasselbe wie mit dem Vergleich zwischen Windows und Mac - iOS und MacOS sind geschlossene Systeme, in denen Apple vorschreibt, wie das System zu nutzen ist, während man bei Windows/Android das System so nutzen kann wie man möchte (was das Herunterladen und Installieren von Mist einschließt).