เมื่อวันที่ 6 กันยา ที่ผ่านมากว่า 24 แอพพลิเคชั่นที่มียอดดาวน์โหลดสูงกว่า 472,000 ครั้งจาก Google Play store ได้พบ Android Malware ชนิดใหม่มีชื่อเรียกว่า Joker ซึ่งสามารถทำได้ทั้งโกงโฆษณา และขโมยข้อมูล

Joker’s second – stage malware เป็น a .dex (Dalvik Executable) ไฟต์ที่ใช้ขโมย SMS, Contact lists และ ข้อมูล device มันแฝงตัวในเว็บไซน์ที่กำลังโฆษณาโดยสร้างจำนวนคลิกปลอม ๆ เช่นเดียวกันกับจำนวนผู้สมัครในเว็บของเหยื่อผู้เคราะห์ร้าย

มัลแวร์ชนิดนี้จะส่งคำร้องขอ subsciptions แบบไม่สามารถระบุตัวตนได้โดยทำการตอบโต้กับเว็บเพจแบบอัตโนมัติ ป้อน Code ของผู้ให้บริการ หลังจากนั้นมันก็จะรอข้อความยืนยันเพื่อนำไปสู่ขั้นตอนทัดไป Kuprins ได้เขียนไว้ว่า “ในที่สุดโจ๊กเกอร์ส่งรหัสที่แยกไปยังหน้าเว็บของข้อเสนอเพื่อที่จะอนุญาตการสมัครสมาชิกระดับพรีเมียม”

ซึ่ง Kuprins ตั้งข้อสังเกตว่า Google รับรู้ถึงแอพที่เป็นอันตรายและมีการใช้งานในการแยกแอพที่เป็นอันตรายออกจากสโตร์โดยลบ 24 ทั้งหมดโดยไม่ต้องมีหมายเหตุใด ๆ

ถ้าอุปกรณ์ที่ติดไวรัสชนิดนี้มีซิมการ์ดจาก 1 ใน 37 ประเทศ Joker ก็จะกระทำการดาวน์โหลดเฉพาะ malicious payload โดยมีประเทศได้แก่ ออสเตรเลีย, ออสเตรีย, เบลเยียม, บราซิล, จีน, ไซปรัส, อียิปต์, ฝรั่งเศส, เยอรมันนี, กานา, กรีซ, ฮอนดูรัส, อินเดีย, อินโดนีเซีย, ไอร์แลนด์, อิตาลี, คูเวต, มาเลเซีย, พม่า, เนเธอร์แลนด์, นอร์เวย์, โปแลนด์, โปรตุเกส, กาตาร์, สาธารณรัฐ อาร์เจนตินา, เซอร์เบีย, สิงคโปร์, สโลวีเนีย, สเปน, สวีเดน, สวิตเซอร์แลนด์, ไทย, ตุรกี, ยูเครน, สหรัฐอาหรับเอมิเรตส์, สหราชอาณาจักรและสหรัฐอเมริกา

แม้ว่าอเมริกาเป็น 1 ใน 37 ของประเทศกลุ่มเป้าหมายแต่แอปส่วนใหญ่ก็จะมีมาตรการเพิ่มเติมที่ป้องกันไม่ให้มัลแวร์ดำเนินการในสหรัฐอเมริกาและแคนาดาอยู่แล้ว

รายงานจาก CSIS มีคอนเซ็ปที่ว่า “small and silent,” โดยการใช้ Java code ขนาดเล็ก และ generating ลิมิตของ footprint ทั้งหมดก็เพื่อการหลีกเลี่ยงความสนใจที่ไม่พึงประสงค์ มันจะเก็บ code และชุดคำสั่งผ่าน HTTP รัน Code ด้วย JavaScript to Java เพื่อป้องกันการวิเคราะห์แบบคงที่

ทั้ง code และ user interface ของ C2 panel ถูกเขียนขึ้นที่ประเทศจีน ซึ่งสังเกตได้จากการระบุแหล่งที่มาของการโจมตีที่เกิดนั่นเอง