Hola amigo, hace un tiempo había estado trasteando justo con eso.
Con msfvenom, en metasploit, creas el payload asignandole ip y puerto.
Recuerda que si lo quieres fuera de tu red hay que utilizar la ip publica, y abrir puertos (u otro sistema si no quieres usar tu ip publica).
Luego tendrías que decompilar la apk creada y copiar las líneas de código.
Decompilar una apk que quieras e incrustar el código malicioso en la llamada de la apk que se ejecuta al inicio (creo que era el Manifest.xml)
Y ya estaría.
Puedes complicarte más si quieres intentar clonarle la firma por si ya tiene esa misma app instalada.
PD: Yo empecé haciendo el apk con msfvenom, instalandola directamente sin incrustarla, y probar cómo funcionaba, luego escalando privilegios, migrandola a diferentes procesos y haciéndola persistente para que se reinstale con el propio sistema operativo por si se formatea.

Saludos!