Dessa funktioner används för att osynligt börja prenumerera på premiumtjänster. Google har beskrivit Joker som ett av de mest ihållande hoten som de har hanterat under de senaste åren, och säger att Joker har använt i stort sett varje metod i ett försök att inte upptäckas.

Nyligen identifierade Check Points Aviran Hazum en ny metod som Joker har utnyttjat. Den här gången döljer programvaran skadlig kod i det som kallas "Android Manifest file" för en legitim applikation. Varje applikation måste ha en Android Manifest-fil i sin rotkatalog. Manifest-filen ger väsentlig information om en app, exempelvis namn, ikon och behörigheter, till Android-systemet och måste finnas innan det kan köra någon av appens koder. På grund av detta behöver Joker inte komma åt en C&C-server.

Aviran Hazum beskriver Jokers nya metod i tre steg: den bygger sin nyttolast i förväg och sätter in den i Android Manifest-filen. Under utvärderingstiden försöker Joker inte ens ladda ner den skadliga nyttolasten, vilket gör det mycket lättare att kringgå Google Play Stores skydd. Efter utvärderingstiden, efter att den har godkänts, börjar kampanjen att rulla, skadlig nyttolast bestäms och laddas ner.

– Joker anpassade sig. Vi upptäckte att koden gömmer sig i filen om väsentlig information som alla Android-applikationer måste ha. Våra senaste resultat tyder på att skydd från Google Play Store inte är tillräckligt. Vi kunde upptäcka många fall av Joker-uppladdningar varje vecka till Google Play, som alla laddades ner av ovetande användare. Jokers skadliga programvara är svår att upptäcka, trots Googles investering att lägga till skydd. Även om Google tog bort skadliga appar från Play Store, kan vi förvänta oss att Joker anpassar sig igen. Alla borde ta sig tid att förstå vad Joker är och hur skadligt det är, säger Mats Ekdahl, säkerhetsexpert hos Check Point. 

Check Points forskare presenterade sina resultat till Google. Alla rapporterade applikationer (11 appar) togs bort från Google Play Store den 30 april 2020.