Das ist zu allgemein gefasst.
Grundlegendes: Berechtigungen sind immer im Manifest einer App deklariert und müssen durch einen Prozess gerechtfertigt sein. Welche Berechtigungen wofür gebraucht werden, legt Google fest. Google legt auch fest, welche Gefahr von ihrer Benutzung ausgeht und teilt sie entsprechend in Kategorien ein.
Die sog. „gefährlichen Berechtigungen“ sind die, die von dir bestätigt werden müssen und auch von dir wieder entzogen werden können. Aber der größte Teil lässt sich nicht steuern. Dazu zählt auch QUERY_ALL_PACKAGES.
Das bedeutet aber nicht, dass jede App diese Berechtigung im Manifest deklarieren und nutzen darf. Wie die Links meines Vorredners zeigen, muss diese Berechtigung gesondert bei Google beantragt werden und wird nur genehmigt, wenn ihr Verwendungszweck glaubhaft dargestellt werden kann. Diese Prozedur entfällt nur dann, wenn in der Natur der Sache an sich diese Berechtigung begründet liegt, z.B. Virenscanner.
Google ist bewusst, wie sensibel diese Datenabfrage ist. Daher geht sie einher mit gesonderten Regelungen (User Data Policy) und bei Verstoß droht die sofortige Kündigung! Sie ist maßgeblich für Apps, die mit Android 11+ kompatibel sind und findet nur auf Geräten Anwendung, die mit Android 11+ betrieben werden. Die Policy tritt Dezember 2023 in Kraft.
In der App-Info deines Handy wird sie auch nicht angezeigt.
Exodus und F-Droid listen lediglich das gesamte Manifest, bzw. die darin enthaltenen Berechtigungen auf. Aber nicht all diese Berechtigungen werden auch im System dargestellt und der Play Store macht das auch nicht. Den Grund dafür kenne ich nicht. Es könnte sein, dass diese Berechtigung erst nach in Krafttreten der User Data Policies zum Vorschein kommt oder evtl. auch überhaupt nicht, da Google diese Berechtigung intern schon unter Beobachtung gestellt hat. Sie wird auch in der Dokumentation als „nicht empfohlen“ aufgeführt. Jedenfalls zeigt der Play Store nicht immer die vollständige Liste aller Berechtigungen laut Manifest an.
Sie kann und wird hier nicht umgangen. Es gibt ein Verzeichnis, in dem für jede App bei Installation ein Ordner angelegt wird. Dieser Ordner wird dann für alle Appdaten der jeweiligen App genutzt. Dieser Ordner ist ausschließlich für diese eine App und niemanden sonst im System zugänglich. Weder für Google oder irgendeinen Systemdienst. Die Appdaten sind dadurch stets geschützt und können nicht gelesen werden. BTW: Daher gibt es auch kein vollumfängliches Backup bei Android. 
Eine App könnte immer nur sich selber, aber nicht die anderen sichern.
Wie du siehst, beziehst sich das Sandbox-Prinzip nur auf die Appdaten. Diese werden durch den Virenscanner auch nicht ausgelesen. Er weiß nur, welche Apps installiert sind. Das ist alles.