Respecto a tu primera pregunta, es posible crear un payload que sea una imagen en Android. Esto se puede hacer utilizando una técnica conocida como "steganografía", que consiste en ocultar datos dentro de una imagen. Para hacerlo con Metasploit, podrías utilizar un módulo llamado "android/meterpreter/reverse_tcp", que te permitiría establecer una conexión inversa y ejecutar comandos en el dispositivo. Luego, podrías utilizar herramientas de steganografía para ocultar el payload dentro de una imagen.

Respecto a tu segunda pregunta, una vez que tienes acceso a la shell del dispositivo Android mediante Metasploit, podrías utilizar comandos de shell para descargar el archivo APK desde un servidor remoto y luego instalarlo mediante la herramienta "pm" (package manager) de Android.

Finalmente, para acceder a los directorios del sistema de Android desde Metasploit, necesitarás ser usuario root en el dispositivo. Puedes intentar obtener privilegios root utilizando alguna herramienta de exploit como "dirtycow" o "towelroot", o intentar buscar alguna vulnerabilidad específica en el dispositivo que te permita obtener dichos privilegios. Una vez que tengas acceso root, podrás navegar por los directorios del sistema como lo harías en una shell normal de Linux.