Згідно з опублікованим компанією Google звітом, з 2017 року й по сьогодні фахівці виявили близько 1700 додатків, «інфікованих» шкідливим Joker (також відомий як Bread).
Компанія характеризує вірус як «добре організованого, наполегливого зловмисника». Спочатку він займався шахрайством з використанням SMS-повідомлень, орієнтуючись на користувачів з операторами, які допускають платежі за допомогою текстових повідомлень, а потім перейшов до платного шахрайства, де користувач платить, відвідуючи сторінку оператора і залишає там свій номер телефону. Joker обманом змушували своїх жертв підписуватися на різні види контенту або купувати його, оплачуючи з рахунку мобільного телефону.
За даними компанії, тільки у вересні 2019-го року система захисту Google Play Protect видалила 24 різні додатки з вірусом Joker, а загальна кількість завантажень шкідливого софта склала понад 500 000. Після завантаження «інфікованих» програм користувачам демонструвалися недостовірні ліцензійні угоди, у фоновому режимі оформлялися платні преміум-передплати, а кнопки для їх скасування просто не працювали.
За словами експертів Googlе, в різний час вони виявили як мінімум три варіанти Joker, які використовували різні механізми взаємодії зі смартфонами і операторами зв’язку. В певні періоди активності шахраї завантажували в магазин додатків до 23 заражених програм щодня. Найчастіше це були просто клони різних популярних додатків з каталогу Google Play.
Експерти відзначають, що багато зразків Joker, схоже, були створені спеціально заради спроб непомітно проникнути в каталог Google Play і більш ніде помічені не були.