Te acabas de responder tu mismo. Sí, se puede con payloads y exploits, en el foro se ha hablado de eso.
Con solo buscar "crear payload para android" ya te salen muchos resultados útiles.
Crear PAYLOAD para Android con Metasploit (https://hackingot.blogspot.com/2017/02/payload-android-control-remoto.html)
Edit: Por cierto... aquí no enseñamos a "jakear" cuentas de facebook o espiar WhatsApp.
(https://imagizer.imageshack.com/img922/963/Zob71w.jpg)