В 2026 году уже 72% компаний столкнулись с кибератаками на мобильные приложения: сильнее всего страдает финсектор

Встроенных средств защиты недостаточно против вредоносного ПО

Согласно мировой статистике за первое полугодие 2025 года, на API пришлось более 40 тыс. атак. Более того, 44% сложной бот-активности были направлены именно на мобильные программные интерфейсы.

По словам экспертов «Информзащиты», проблема усугубляется тем, что после публикации в магазине приложений мобильный клиент оказывается в среде, которую разработчик не контролирует. Устройство пользователя может быть модифицировано, программное окружение — подменено, а сетевое соединение — перехвачено. В результате злоумышленники получают дополнительные возможности для вмешательства в работу backend-систем и API.

По этой причине в 2026 году 82% разработчиков фиксируют рост злоупотреблений backend-логикой и API — интерфейсами обмена данными между сервисами. При этом системный контроль API-активности внедрён лишь у 48% организаций, что усиливает уязвимость инфраструктуры.

Кроме того, большинство специалистов (84%) считают, что встроенные механизмы защиты мобильных операционных систем больше не справляются с современными техниками анализа и модификации приложений. Иными словами, существующие инструменты безопасности не поспевают за развитием атак.

62% вредоносного ПО распространяется через файлы для скачивания

В российской практике основным каналом распространения вредоносного ПО остаются сторонние APK-файлы для Android — на них приходится 62% случаев, сообщают аналитики «Информзащиты». Программы маскируются под «обновления» и «ускорители работы телефона». Также значительная доля — 46% — атак происходит через мессенджеры.

Дополнительный фактор риска — использование личных устройств в рабочих целях: около 29% инцидентов случились с сотрудниками компаний, которые применяют свои собственные устройства для работы.

Многоуровневая защита помогает сократить число инцидентов

Рост числа инцидентов объясняется совокупностью причин. Среди них — ускоренные релизные циклы: 79% команд называют горящие дедлайны релизов препятствием для усиления защиты. Почти повсеместное внедрение AI-ассистентов в разработке (96% команд) сопровождается новыми рисками: 81% отмечают появление уязвимостей в сгенерированном коде — от ошибок валидации до небезопасного хранения токенов. Дополняют картину дефицит экспертизы в мобильной безопасности, расширение API-поверхности в микросервисных архитектурах и интеграция сторонних SDK без полноценного аудита.

При этом 96% компаний, внедривших многоуровневую защиту клиентской части, заявили о снижении количества инцидентов.

Больше всего атак — в финансовом секторе

Наибольшая концентрация кибератак приходится на финсектор — на отрасль приходится 24% зафиксированных случаев. За ним следуютритейл и e-commerce (19%), телеком (14%) и государственные структуры (12%). Оставшиеся 31% распределены между логистикой, медиа и сервисами доставки.

Эксперты отмечают формирование «разрыва доверия» на стороне мобильного клиента: бизнес инвестирует в серверную инфраструктуру, тогда как злоумышленники взаимодействуют непосредственно с пользовательским приложением.

Контекст

Эксперты «Информзащиты» напоминают: с учётом действующих в России с 30 мая 2025 года оборотных штрафов за повторные утечки персональных данных — от 1 до 3% годовой выручки (до 500 млн рублей) — риски мобильных уязвимостей приобретают измеримый финансовый масштаб.

В 2025 году объём утечек персональных данных российских пользователей достиг 767 млн строк, увеличившись в 1,5 раза год к году. В этих условиях мобильная безопасность становится элементом финансовой устойчивости, а не просто частью IT-политики, пишут аналитики «Информзащиты».