Доля инцидентов, связанных с мобильными приложениями, превысила 70%

Речь идет не только о росте количества атак, но и об их усложнении: средний пользователь сегодня сталкивается с 66 потенциально вредоносными событиями в сутки против 29 годом ранее. Даже при сохранении прежнего объема сетевых обращений прирост составил бы около 14% год к году, что указывает на качественное изменение ландшафта угроз. Масштаб проблемы подтверждается и данными платформенных вендоров: по итогам 2025 года встроенная защита Google Play Protect обнаружила 27 млн вредоносных приложений – вдвое больше, чем годом ранее (13 млн).

Мобильное приложение по своей природе функционирует вне периметра доверенной инфраструктуры. После публикации в сторе оно оказывается в среде, которую компания не контролирует: устройства могут быть рутированы, окружение эмулировано, а трафик перехвачен. Любая транзакция по умолчанию недоверенная. На этом фоне 82% опрошенных разработчиков отмечают рост злоупотреблений backend и API-интерфейсами, однако лишь 48% компаний внедрили полноценный мониторинг API-активности. Разрыв между осознанием угрозы и фактическими мерами защиты остается значительным. Только в первом полугодии 2025 года в мире было зафиксировано более 40 тыс. инцидентов, связанных с атаками на API, а 44% продвинутой бот-активности направлено именно на программные интерфейсы мобильных сервисов.

Часть организаций демонстрирует иллюзию улучшения ситуации, ссылаясь на встроенные механизмы платформенных вендоров. Однако 84% специалистов признают, что нативные средства операционных систем недостаточны для противодействия современным сценариям реверс-инжиниринга и динамической инструментализации. В 2026 году доля инцидентов, связанных с модификацией или клонированием мобильных приложений, достигла 63%. При этом 65% компаний зафиксировали отток пользователей или удаление приложений из-за выявленных уязвимостей. Репутационные потери начинают напрямую конвертироваться в снижение выручки. В российских реалиях эта динамика подкрепляется данными мониторинга: в 62% случаев вредоносное ПО распространяется через APK-файлы для Android, замаскированные под «оптимизаторы» или «патчи», а 46% атак приходит через мессенджеры, минуя официальные каналы дистрибуции.

Причины роста инцидентов лежат сразу в нескольких плоскостях. Во-первых, ускорение релизных циклов. 79% команд называют давление time-to-market ключевым барьером для усиления защиты. Расширение использования AI-инструментов в разработке ускорило выпуск версий, но одновременно увеличило количество унаследованных уязвимостей и шаблонных конфигурационных ошибок. По нашим оценкам, 96% команд уже используют AI-ассистенты при разработке мобильных приложений, при этом 81% фиксируют появление новых уязвимостей в AI-сгенерированном коде – от некорректной валидации ввода до небезопасного хранения токенов. Во-вторых, дефицит специалистов по мобильной безопасности. Компании по-прежнему распределяют ответственность между DevOps и AppSec, не формируя отдельную экспертизу в области защиты клиентской части. В-третьих, архитектурные ограничения: микросервисные backend-платформы с обширными API-поверхностями создают дополнительные точки атаки. В-четвертых, угрозы через цепочки поставок: сторонние SDK и библиотеки, встроенные в мобильные приложения, все чаще становятся каналом компрометации. Разработчики интегрируют готовые компоненты без полноценного аудита, что фактически расширяет поверхность атаки за пределы собственного кода. Наконец, экономический фактор: многие организации до сих пор воспринимают обфускацию кода и RASP как избыточные расходы, опасаясь влияния на производительность, хотя 96% компаний, внедривших многоуровневую защиту, сообщили о снижении числа инцидентов.

Отраслевой анализ показывает, что наибольшая концентрация инцидентов в 2026 году пришлась на финансовый сектор – 24% от общего числа зарегистрированных случаев. Банки и финтех-сервисы остаются приоритетной целью из-за прямого доступа к транзакциям. Ритейл и e-commerce заняли 19%, что связано с ростом мобильных платежей и программ лояльности. Телекоммуникации – 14%, где атаки часто направлены на злоупотребление бонусными и подписочными сервисами. Государственный сектор продемонстрировал 12%, в основном из-за компрометации учетных записей пользователей. Остальные 31% распределились между логистикой, медиа и сервисами доставки. Примечательно, что в 2026 году около 29% зафиксированных инцидентов затронули сотрудников компаний, использующих личные устройства для работы, – BYOD-сценарий продолжает расширять периметр атаки на корпоративную инфраструктуру через мобильный канал.

Регуляторная среда усиливает давление на бизнес. С 30 мая 2025 года в России действуют оборотные штрафы за утечки персональных данных (420-ФЗ): за повторный инцидент компания заплатит от 1 до 3% годовой выручки, а максимальный штраф может достигать 500 млн рублей. На фоне того, что в 2025 году суммарный объем утекших данных российских пользователей достиг 767 млн строк (рост в 1,5 раза к 2024 году), мобильное приложение с незащищенным API или без контроля целостности клиента – это прямой путь к финансовым потерям, измеряемым уже не только репутацией, но и оборотными штрафами.

Снижение вероятности инцидентов требует пересмотра подхода к мобильной безопасности как к непрерывному процессу. Практика показывает, что комбинация автоматизированного тестирования мобильных приложений на ранних этапах разработки, многоуровневой защиты кода с использованием полиморфных техник обфускации и встроенных механизмов runtime-защиты, а также механизмов аттестации приложений для контроля целостности клиента существенно сокращает поверхность атаки. Дополнительный эффект дает постоянный сбор телеметрии и анализ аномалий в реальном времени, позволяющий блокировать модифицированные клиенты и ботов до нанесения ущерба. Такой интегрированный подход устраняет традиционный компромисс между скоростью релиза и уровнем защиты.