El código de Spade esta escrito en Python y lo que hace es bindear un apk embebiendo un backdoor con un payload de Android de Metasploit.
Los únicos requisitos son tener instalado Metasploit y las librerías lib32stdc++6, lib32ncurses5 y lib32z1.
sólo tienes que clonar el repositorio y ejecutar el script principal pasándole como parámetro cualquier APK que queramos «infectar». Puedes descargar cualquier apk para probar por ejemplo desde apk4fun.com:
git clone https://github.com/suraj-root/spade.git
cd spade/
./spade.py net.zedge.android-5.8.0-www.APK4Fun.com.apk
simplemente hemos seleccionado el payload para una sesión inversa con meterpreter mediante HTTP (opción 1), la IP y el puerto de la máquina del atacante. En unos minutos obtendremos el apk malicioso y cuando la víctima lo instale y lo ejecute automáticamente obtendremos una shell en el dispositivo.
Fuente: https://github.com/suraj-root/