Гид по технологиям

Вредонос Joker: что это и как защититься

8 min read Безопасность Обновлено 12 Apr 2026
Вредонос Joker: как распознать и защититься
Вредонос Joker: как распознать и защититься

Важно: если вы обнаружили неожиданные списания или подозрительные подписки — немедленно деинсталлируйте приложение, свяжитесь с банком и оператором связи и проверьте устройство антивирусом.

Изображение приложения с вредоносом Joker

Что такое Joker

Joker — это семейство мобильного вредоносного ПО для Android, которое маскируется под видимые и безобидные приложения (мессенджеры, утилиты, компрессоры изображений и т.д.) и незаметно подписывает пользователей на платные сервисы. Встречается также под названием Bread — это одна и та же угроза.

Ключевые факты в одну строку:

  • Обнаружен впервые в 2017 году.
  • Способен обходить проверки магазина приложений, используя «чистые» загрузки и последующие скрытые обновления.
  • В 2020 году Google удалил более 1 700 приложений, инфицированных Joker; позже были удалены и отдельные наборы приложений (включая 11 приложений, перечисленных ниже).

Joker не всегда требует явных разрешений для кражи денег. Он использует сочетание легитимного внешнего вида приложения, скрытых загрузок кода и эксплуатации системных функций Android для автоматической подписки на платные номера и блокировки подтверждающих уведомлений.

Пример приложения Joker в Google Play Store

Как Joker проникает и работает — простым языком

Краткое определение механизмов в одну строку: Joker комбинирует скрытую загрузку исполняемого кода, перехват уведомлений и отправку SMS/подписок для скрытых списаний.

Основные этапы атаки:

  1. Маскировка и публикация

    • Злоумышленники готовят «чистую» версию приложения без вредоносного кода и публикуют её в магазине приложений.
    • Приложение получает положительные (часто фальшивые) отзывы, чтобы выглядеть надежным.

  2. Доставка вредоносного кода

    • После установки приложение загружает вредоносный DEX-файл (исполняемый код для Android) с сервера управления.
    • В новых вариантах DEX может храниться внутри приложения в виде Base64-строк и декодироваться только на устройстве, чтобы пройти проверку загрузки.

  3. Получение привилегий и сокрытие подтверждений

    • Joker использует Android Notification Listener — разрешение, которое позволяет приложению читать и управлять уведомлениями.
    • Перехват уведомлений и блокировка всплывающих окон подтверждения позволяют совершать подписки без вмешательства пользователя.

  4. Подписка и списания

    • В старых вариантах вредонос отправлял SMS на премиальные номера от имени пользователя.
    • В новых схемах подписка оформляется через поддельные формы и автоматические подтверждения, скрытые от пользователя.

Последствия: нежелательные списания, мошеннические подписки, утечка контактов и SMS, возможная передача информации о устройстве злоумышленникам.

Примеры обнаруженных приложений

Google удалил ряд приложений, в которых был обнаружен Joker. Если в списке ниже есть приложения на вашем устройстве — удалите их и проверьте счета:

  • Compress Image (com.imagecompress.android)
  • Contact Message (com.contact.withme.texts)
  • Friend SMS (com.hmvoice.friendsms)
  • Relaxation Message (com.relax.relaxation.androidsms)
  • Cheery Message (com.cheery.message.sendsms)
  • Loving Message (com.peason.lovinglovemessage)
  • File Recovery (com.file.recovefiles)
  • App Locker (com.LPlocker.lockapps)
  • Remind Alarm (com.remindme.alram)
  • Memory Game (com.training.memorygame)

Скриншот интерфейса заражённого приложения

Как распознать инфицированное приложение

Признаки, что приложение может содержать Joker:

  • Неожиданные списания в банковской выписке или отдельные подписки на мобильном счёте.
  • Дублирующиеся или чрезмерно общие отзывы в Google Play (одно и то же короткое сообщение от разных аккаунтов).
  • Запросы на лишние разрешения (Notification access, SMS, Call log) без очевидной причины для функционала приложения.
  • Приложение кажется лёгким, но постоянно требует обновлений и загружает дополнительный код.

Проверочная методика (минимальная):

  1. Посмотрите список разрешений приложения в настройках Android.
  2. Проверьте историю списаний и мобильный счёт на предмет подписок.
  3. Сравните обзоры в магазине — ищите повторяющиеся тексты.
  4. Запустите проверку антивирусом для Android.

Проверочный чек-лист для пользователей

Для быстрого самоосмотра устройства выполните следующие шаги:

  • Откройте «Настройки» → «Приложения» и удалите подозрительные приложения из списка выше.
  • Проверьте разрешения приложений: лишние разрешения отзовите (особенно Notification access и SMS).
  • Проверьте банковские транзакции за последние 3 месяца и счёт мобильного оператора.
  • Установите проверенное мобильное антивирусное приложение и выполните полную проверку.
  • Измените пароли и включите двухфакторную аутентификацию там, где это возможно.

Совет: сначала сделайте резервную копию важных данных, затем полностью удалите сомнительные приложения и перезагрузите устройство.

Пошаговый план реагирования (инцидент-рунбук)

  1. Изоляция

    • Немедленно отключите устройство от сети (Wi‑Fi и мобильный интернет).
    • Не вводите банковские данные и не выполняйте финансовые операции на устройстве.

  2. Идентификация

    • Выпишите названия недавно установленных приложений.
    • Проверьте список приложений из раздела выше и удалите совпадающие.

  3. Устранение

    • Удалите приложение через «Настройки» → «Приложения» → «Удалить».
    • Очистите кеш и данные приложения перед удалением, если возможность есть.

  4. Устранение последствий

    • Свяжитесь с банком и оператором связи для блокировки нежелательных подписок и возврата средств.
    • Запустите антивирусную проверку и, при необходимости, выполните сброс до заводских настроек (только после резервного копирования).

  5. Восстановление и профилактика

    • Обновите систему и все приложения из официальных источников.
    • Установите надёжный антивирус и соблюдайте чек-лист безопасной загрузки приложений.

Критерии приёмки: устройство не отправляет SMS на незнакомые номера, нет новых неизвестных подписок, антивирус не находит угроз.

Роль‑ориентированные рекомендации

Для обычного пользователя:

  • Устанавливайте приложения только из проверенных источников.
  • Читайте разрешения при установке и отзывы, но не полагайтесь только на них.

Для IT-администраторов и специалиста по безопасности мобильных устройств:

  • Настройте мобильное управление устройствами (MDM) и блокируйте левые магазины приложений.
  • Мониторьте аномальные SMS/трафик и установку незарегистрированных пакетов.

Для разработчиков приложений:

  • Не используйте динамическую загрузку исполняемого кода из непроверенных источников.
  • Подпишите APK и минимизируйте запрашиваемые разрешения; используйте прозрачные объяснения для пользователя.

Когда описанная защита может не сработать (ограничения)

  • Если злоумышленник уже получил доступ к корневым (root) привилегиям устройства, стандартные методы удаления могут быть недостаточны.
  • Если речь идёт о модифицированном/взломанном магазине приложений — риск значительно выше.
  • Если пользователь предоставил разрешения Notification access и SMS сознательно, вредонос может продолжать работать, пока не будут отозваны разрешения.

Альтернативы и дополнительные меры защиты

  • Используйте профилирование приложений в контейнеризированном окружении (для корпоративных устройств).
  • Включите уведомления от банка о всех транзакциях по SMS и push, чтобы быстрее обнаруживать подозрительные списания.
  • Ограничьте права приложений через настройки системы: запретите автозапуск и фоновые операции для сомнительных приложений.

Простая методология проверки приложения перед установкой

  1. Изучите издателя: проверяйте историю и другие приложения разработчика.
  2. Читайте обзоры внимательно — ищите повторяющиеся короткие тексты.
  3. Смотрите запрашиваемые разрешения и думайте, зачем приложению нужен доступ к SMS/уведомлениям.
  4. Подождите пару дней: часто мошенничьи приложения быстро набирают фальшивые отзывы.

1‑строчный глоссарий

  • DEX: исполняемый формат кода для Android (аналог .jar/.class для Java).
  • Notification Listener: системное разрешение Android для чтения и управления уведомлениями.

Мини‑факто‑бокс

  • Первый фиксируемый случай: 2017 г.
  • Массовое удаление (январь 2020): >1 700 инфицированных приложений.
  • Типичные цели: мессенджеры, утилиты, обои, игры.

Быстрый шаблон сообщения в банк/оператору при обнаружении списаний (копируйте и используйте)

Здравствуйте,

Прошу разобраться в несанкционированных списаниях/подписках, обнаруженных на моём счёте/мобильном номере. Подозреваю мошенническое приложение (возможно, вредонос Joker). Прошу заблокировать дальнейшие списания и попытаться инициировать возврат средств.

С уважением, [Ваше имя]

Социальный превью и короткое объявление

OG Title: Вредонос Joker: как распознать и защититься
OG Description: Узнайте, как Joker маскируется в приложениях, как он подписывает на платные сервисы и что делать, если устройство заражено.

Короткое объявление (100–200 слов):

Вредонос Joker продолжает представлять угрозу для пользователей Android, маскируясь под обычные приложения и незаметно подписывая жертву на платные сервисы. Он загружает исполняемый код на устройство, перехватывает уведомления и блокирует подтверждения, что делает списания едва заметными. Проверьте список потенциально заражённых приложений, удалите любые подозрительные программы, проверьте банковские и мобильные счета и выполните проверку устройством антивирусом. Для корпоративных пользователей рекомендовано использовать MDM и ограничивать установки из неофициальных источников. Следуйте простому чек-листу реагирования, чтобы минимизировать ущерб и восстановить контроль над устройством.

Часто задаваемые вопросы

Как я узнаю, что меня подписали на платную услугу?

Проверьте банковские выписки и счёт мобильного оператора: подозрительные однотипные списания и абонентская плата от неизвестных сервисов — типичный признак.

Нужно ли сразу делать сброс до заводских настроек?

Сброс — крайняя мера. Сначала удалите подозрительные приложения, выполните антивирусную проверку и свяжитесь с оператором и банком. Если угроза сохраняется и вы не можете её устранить — выполните резервную копию и сброс.

Может ли антивирус найти Joker?

Да — современные проверенные антивирусы для Android обычно обнаруживают известные вариации Joker. Однако новые модификации могут быть обнаружены с задержкой, поэтому сочетайте антивирус с осторожностью при установке приложений.

Как разработчики обходят проверки магазина приложений?

Часто они публикуют «чистую» версию приложения, а вредоносный код загружают позднее или хранят внутри приложения в закодированном виде (например, Base64) для поздней декодировки и исполнения.

Резюме

  • Joker — скрытная угроза для Android, подписывает на платные сервисы и может перехватывать уведомления.
  • Удаляйте подозрительные приложения, проверяйте транзакции и отзывайте лишние разрешения.
  • В случае обнаружения списаний: изолируйте устройство, удалите приложение, свяжитесь с банком и оператором, выполните проверку антивирусом.

Если вы хотите, я могу подготовить короткий инцидент‑чек‑лист в формате для печати или файл CSV с шаблонами сообщений в банк и оператору.

Поделиться: X/Twitter Facebook LinkedIn Telegram
Автор
Редакция

Похожие материалы

Продвижение писателя в LinkedIn
Маркетинг

Продвижение писателя в LinkedIn

Создать анимированный GIF из видео
Графика

Создать анимированный GIF из видео

Как побеждать кемперов в шутерах
игровые гайды

Как побеждать кемперов в шутерах

Изменить цвет панели навигации Android
Android.

Изменить цвет панели навигации Android

Окрасить статус-бар Android под приложение
Android.

Окрасить статус-бар Android под приложение

Как поделиться историей в Instagram — быстро и просто
Социальные сети

Как поделиться историей в Instagram — быстро и просто