Написать можно на любом.
Даже самая обычная Windows Form с функционалом блокнота может иметь скрытый метод.
Не писал/не знаю, но логично:
смотря кто целевая атака - если браузеры, то скрипты, если классические приложения - то языки, на которых они пишутся.
.apk на винде не запустить, следовательно для жизнедеятельности десктопного вируса нужно засунуть в систему ее исполняющий файл.
Как засунуть и как спрятать - другая история.
Это мысли в слух)