McAfee の研究者によると、これらのアプリは、写真編集者、壁紙、キーボードスキン、パズル、カメラに関連する他の多くのアプリとして自分自身を描くために使用されます。後でこれらのアプリケーションは、組み込みマルウェアによってSMS通知をハイジャックし、ハッキングされたユーザーからの不正購入を開始します.これらの詐欺的なアプリは、一般的にパンとして知られているジョーカーの財産であることがわかりました。過去4年間、このマルウェアはGoogle Playのレビュー担当者をこっそり見ることができ、その結果、Googleは2020年の初めに約1700件の感染アプリケーションを取り下げ、このマルウェアを使用しました。現在、マカフィーはEtinuという名前の別のモニカーを使用して他の潜在的な脅威も追跡しています。
このマルウェアは、SMSメッセージ、デバイスデータ、情報、ユーザーの連絡先リストを盗む機能を含む、それが保持しているスパイウェア機能を通じて支払いに関連する詐欺行為でよく知られています。このマルウェアの開発者は、Playストアのユーザーから信頼を得るためにアプリのマルウェアフリーバージョンをアップロードするのに役立つバージョン管理と呼ばれる方法を使用し、アプリがインストールされると、不正なコードは後でアプリケーションの更新バージョンを介して導入されます。これは、彼らがレビュープロセスを過ぎてスリップするために管理する方法です。
最初の段階のペイロードとして導入された追加のコードは、実際にはこれらのコードが無害であるという欺瞞であり、ファイルをデコードするために使用される隠しキーを復活させるために、コマンドとコントロールとも呼ばれるC2を確立しています。この中間状態のペイロードは最終的に復号化され、マルウェアがインストールされます。C2サービスを調査した結果、電話番号、SMSメッセージ、IPアドレス、キャリア、ネットワーク状況、国など、すべての個人情報が収集されたことが判明しました。このマルウェアを持つ9つのアプリを持つリストもリリースされました。名前は次のとおりです。