И ещё подробности о том, как приложения стучат на нас
История с VPN вышла далеко за пределы операторов и блокировок на сети.
Теперь всё заметнее выглядит так, что проверка VPN переносится прямо на устройство пользователя — через обычные приложения банков, маркетплейсов, карт, музыки и соцсетей.
Что показало исследование
По данным исследования RKS Global, из 30 популярных российских Android-приложений 22 умеют определять наличие VPN, а 19 ещё и отправляют VPN-статус на сервер.
В списке — Яндекс Браузер, Яндекс Карты, ВКонтакте, Сбербанк Онлайн, Т-Банк, ВТБ Онлайн, Wildberries, Ozon, Avito, 2ГИС, Самокат, RuStore, MAX, Rutube и другие.
Что именно они смотрят
Речь уже не только о банальной проверке «включён VPN или нет».
В исследовании говорится, что часть приложений анализирует сетевые интерфейсы, настройки маршрутизации, прокси, список установленных программ и поведение устройства.
Отдельные приложения, по данным авторов, идут дальше: MegaMarket и Самокат получают список VPN-приложений на устройстве, Avito может видеть очень большой перечень чужих установленных приложений, а Яндекс Браузер ищет даже Tor.
🧠 То есть для части рынка это уже не техническая диагностика, а довольно глубокое сканирование цифровой среды пользователя.
Кто ведёт себя жёстче всего
Самыми агрессивными в исследовании названы банковские приложения.
Т-Банк, Сбербанк и ВТБ попали в верхнюю часть рейтинга по объёму проверок.
Отдельно выделены касания экрана, поведенческая биометрия, детект рута, попытки обнаружить инструменты анализа и расширенный сбор технических признаков устройства.
Почему это происходит сейчас
Контекст у этой истории политический, а не только технический.
После апрельских сообщений о требованиях к крупным платформам ограничивать доступ пользователям с включённым VPN сама логика рынка меняется. Если раньше блокировка была в первую очередь задачей провайдера и регулятора, то теперь часть контроля пытаются перенести в приложения и на сами платформы.
📉 Для бизнеса это означает дополнительные расходы и правовые риски.
Для пользователя — более плотную проверку устройства.
Для рынка в целом — переход от пассивной цензуры к более активной модели наблюдения.
Что из этого следует
Даже если брать это исследование осторожно и без лишней паники, вывод неприятный.
Обычное российское приложение всё чаще становится не просто сервисом, а инструментом проверки среды, в которой находится пользователь. И чем теснее приложение связано с деньгами, логистикой, картами или госцифрой, тем выше шанс, что оно будет смотреть на устройство куда внимательнее, чем хотелось бы.
Комментарий EH
Вся эта история неприятна не только потому, что приложения ищут VPN. Она неприятна потому, что под видом «безопасности» и «стабильности сервиса» рынок приучают к мысли, что телефон пользователя можно изучать всё глубже. А дальше почти всегда происходит одно и то же: сначала это называют борьбой с обходом блокировок, потом — антифродом, потом — стандартной практикой. И в какой-то момент слежка перестаёт восприниматься как скандал и становится нормой.
«Конституция Российской Федерации» (принята всенародным голосованием 12.12.1993 с изменениями, одобренными в ходе общероссийского голосования 01.07.2020)
Статья 29
1. Каждому гарантируется свобода мысли и слова.
2. Не допускаются пропаганда или агитация, возбуждающие социальную, расовую, национальную или религиозную ненависть и вражду. Запрещается пропаганда социального, расового, национального, религиозного или языкового превосходства.
3. Никто не может быть принужден к выражению своих мнений и убеждений или отказу от них.
4. Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом.
5. Гарантируется свобода массовой информации. Цензура запрещается.
Подробности
Как и зачем российские приложения ищут на телефонах пользователей VPN?
Анализ слежки в 30 популярных российских приложениях для Android
Контекст
Российские власти намерены обязать крупные российские цифровые компании участвовать в цензуре и слежке за пользователями. Об этом стало известно в начале апреля 2026 года, когда Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры России) провело специальные совещания с крупнейшими по размеру аудитории российскими интернет-компаниями: «Сбером», «Яндексом», VK, Wildberries, Ozon, Avito, X5 и др. Всего более 20 площадок.
По имеющимся на сегодня данным компаниям было поручено к 15 апреля 2026 года ограничить доступ к интернет-сервисам пользователям, у которых на устройстве включен VPN. Над теми, кто не выполнит поручение, может нависнуть угроза лишения IT-аккредитации, отмены льгот, исключения из «белого списка», а значит фактическую невозможность работы при ограничении интернета.
В методических рекомендациях, которые были разосланы крупнейшим интернет-компаниям из Минцифры, описаны этапы проверки, которую должны осуществить приложения на пользовательском устройстве. Приложения должны сканировать сетевые настройки устройства, маршрутизацию и DNS, наличие VPN и proxy на уровне системы и отдельно поведение пользователя – например, резкие смены стран, нетипичные паттерны подключения.
По мнению экспертов такой набор анализируемых данных всё больше напоминает шпионское ПО под видом полезного сервиса, так как предполагает доступ к чувствительной технической информации об устройствах, с помощью которой можно не только выявить специфические настройки устройства, но и деанонимизировать пользователей. В первую очередь набор таких данные планируется передавать в Роскомнадзор, чтобы он смог находить те VPN-сервисы, которые ранее не идентифицировал и не ограничивал.
Но российские власти накладывают на интернет-компании обязательства не только следить за пользователями через приложения и сливать информацию госам, но и самостоятельно наказывать пользователей с включенным VPN, создавая им неудобства в использовании привычных ресурсов и заставляя, таким образом, отказаться от инструментов обхода блокировок. Минцифры пытается делегировать цензуру от государства к частным компаниям, которые должны будут тратить деньги на разработку системы слежки для своих приложений, нести правовые риски, мириться с ложными срабатываниями и оттоком клиентов.
Уже 7 апреля 2026 года были зафиксированы случаи, когда пользователи из России сталкиваются с проблемами в работе сайтов Wildberries, Ozon и «ВкусВилл» при включенном VPN: сайты замедляются или перестают открываться, карточки товаров не загружаются. Раньше сервисы только предупреждали о «некорректной работе при использовании VPN», теперь они лишают доступа к каталогам. Площадки начали ужесточать противодействие VPN.
Цифровая цензура в России выходит на новый уровень. Экперты отмечают переход от пассивной интернет-цензуры к активной. С 2012 года любые блокировки и санкции происходили со стороны цензоров. Сначала они в ручном режиме наполняли реестр запрещенных сайтов и спускали его провайдерам для осуществления блокировок. Далее разворачивали систему ТСПУ, чтобы в автоматическом режиме выявлять и ограничивать подозрительный или нежелательный трафик. На новом этапе — становление которого происходит прямо сейчас — с устройства пользователя собираются дополнительные данные, на основании которых принимается решение о блокировке.
Гипотеза
Эксперты RKS Global уже исследовали, как на устройстве Android мессенджер MAX определяет активно ли VPN-подключение и передаёт информацию об этом своим разработчикам, которые сотрудничают с российскими силовиками. VPN-провайдеры уже столкнулись с блокировками IP-адресов их серверов в связи с информацией от мессенджера MAX. Учитывая давление на цифровой бизнес со стороны властей и первые успехи со слежкой за VPN в MAX, есть повод предположить, что в ближайшее время приложения, которые принадлежат российским компаниям будут отслеживать VPN и отправлять репорты о выявленных случаях цензорам для блокировок. Эта мера очень эффективна, и российские власти будут стремиться развить успех.
Гипотеза экспертов RKS-Global состоит в том, что не только приложение MAX активно следит за устройством пользователя, пытаясь выявить использование VPN. Шпионить теперь может любое приложение для Android, выпущенное российскими компаниями для российского рынка. Причем уровень вторжения в устройство может быть очень высоким, а объем собираемой информации может превышать даже предписанный властями.
Методология
Эксперты провели анализ 30 самых популярных в России приложений для Android от российских компаний, чтобы выяснить, какие данные о VPN они собирают и какой объем слежки, в целом, реализуют.
Для выбора эксперты считали MAU (Monthly Active Users) — количество людей, открывших приложение хотя бы раз за месяц. Источники данных: Mediascope (декабрь 2025 — февраль 2026), рейтинги скачиваний RuStore за 2025 год, отчётность компаний (Сбер, VK, Ozon, 2ГИС), публикации в СМИ.
Для анализа использовался статический анализ APK – декомпиляция через apktool и jadx, поиск по 68 контрольным точкам слежки в 12 категориях слежки. Версии APK получены из RuStore и Google Play, актуальны на апрель 2026.
Ограничения методологии. Был проведен только статический анализ, без динамического тестирования на устройстве.
Выводы
1. Приложения, которые следят за VPN
В ходе анализа было выявлено, что 22 из 30 приложений детектируют VPN, из них 19 отправляют VPN-статус на сервер.
Это приложения Яндекс Браузер, Яндекс Карты, ВКонтакте, Мой МТС, Сбербанк Онлайн, Т-Банк, VK Видео, Wildberries, Кинопоиск, Ozon, Самокат, RuStore, ВТБ Онлайн, Yandex Music, Avito, Альфа-Банк, 2ГИС, MegaMarket, Одноклассники, MAX, Rutube, VK Music.
Когда приложение детектирует VPN, оно может отправить полученную информацию цензорам, чтобы те смогли предпринять более эффективные меры для блокировки обнаруженного VPN. Но помимо этого, компания, выпустившая приложение, должна будет самостоятельно наказать пользователя, ограничив ему или существенно усложнив использование своего сервиса.
Когда приложение детектирует VPN, оно фиксирует то, что пользователь скрывает свой реальный IP-адрес. Эта информация может передаваться (и передаётся) на серверы компании, а оттуда её могут получить силовики.
На момент исследования не найдены следы детекции VPN у 8 из 30 проанализированных приложений: Яндекс Маркет, Яндекс Еда, Почта Mail.ru, МегаФон, Mir Pay, Госуслуги, Яндекс Go, Дзен.
Приложения Самокат и MegaMarket получают список всех VPN-приложений (используют queryIntentServices(«android.net.VpnService»)), установленных на устройстве. Не просто «включён ли VPN», а какие именно VPN-приложения есть.
Яндекс Браузер — единственное приложение, которое ищет Tor на устройстве. То есть браузер, который сам предлагает режим «Инкогнито», ищет инструмент анонимности на пользовательском устройстве. В целом Яндекс Браузер и Яндекс Карты используют максимальное число методов VPN-детекции (4 из 6).
2. Приложения, которые следят другими способами
По результатам анализа 11 из 30 приложений получают рейтинг RED (максимальная слежка, см. таблицу в приложении).
Банковские приложения — самая агрессивная группа. Т-Банк (65), Сбербанк (64) и ВТБ (59) входят в топ-10. Все три отправляют VPN-статус на серверы, используют расширенный fingerprinting устройства, детект рута и инструментов анализа. Т-Банк запрашивает 47 разрешений — больше всех. При этом 24 из них (включая автозапуск, фоновые сервисы камеры, микрофона, геолокации и установку APK) предоставляются автоматически без ведома пользователя. Банковские приложения лидируют по числу «тихих» install-time разрешений (это устоявшийся термин в Android-разработке. В официальной документации Google используется install-time permissions — разрешения, которые предоставляются автоматически при установке приложения (например, INTERNET, BLUETOOTH). Они противопоставляются runtime permissions, которые запрашиваются у пользователя во время работы приложения), формирующих постоянную фоновую инфраструктуру.
Приложение MegaMarket (принадлежит Сберу) делит первое место с Т-Банк, использует Group-IB SDK и собирает контакты, SMS, журнал звонков.
Приложение Avito сканирует 200+ чужих приложений. В блоке <queries> манифеста перечислено более 200 пакетов — банки (Сбербанк, Т-Банк, ВТБ, Альфа), маркетплейсы (Ozon, Wildberries), соцсети (VK, Telegram, Instagram, Facebook), сервисы (Яндекс), конкуренты (Drom, CIAN, HH.ru). Avito может определить, какие из этих приложений установлены.
Приложения Т-Банк, Альфа-Банк, 2ГИС, Яндекс Еда, MegaMarket, Мой МТС, Одноклассники, Госуслуги, Rutube, Сбербанк Онлайн, Yandex Music перехватывают каждое касание экрана с координатами, давлением и временем (dispatchTouchEvent). Сбербанк хранит объекты TouchData с полями pressure, size, x, y. Group-IB SDK (в Альфа-Банке, MegaMarket, Мой МТС) перехватывает все touch-события. Поведенческая биометрия позволяет идентифицировать человека по тому, как он нажимает на экран — даже без логина. Rutube записывает координаты касаний, хотя это просто видеохостинг.
Приложения Т-Банк, Яндекс Браузер, Yandex Music, Яндекс Карты ищут следы Frida (инструмент динамического анализа), то есть эти приложения активно противодействуют тому, чтобы пользователь или исследователь мог проанализировать, что они делают. Яндекс Музыка защищается так, будто это военное ПО.
MAX обфусцирует имена сетевых интерфейсов (tun/ppp/tap/pptp0 закодированы байтовыми массивами), что свидетельствует о намеренном сокрытии VPN-детекции от исследователей.
AppMetrica (Яндекс) и MyTracker (VK) — два главных российских трекера, встроенных в более чем половину проанализированных приложений. Данные с этих SDK доступны по запросу российских правоохранительных органов.
Рекомендации
Часть 1. Пользователь в России
1.1 Изоляция приложений
- —
Идеальный вариант — иметь два телефона. Один для российских приложений, второй для всего остального с использованием VPN.
- —
Если телефон один, необходимо использовать Android Work Profile через Shelter. При такой конфигурации приложения из разных профилей не видят друг друга: ни списка приложений, ни контактов, ни файлов. Work Profile не скрывает VPN, только данные между профилями, то есть он не помогает защищать VPN-приложения.
1.2 VPN
- —VPN на роутере. VPN-туннель создается на роутере, телефон подключается по Wi-Fi.
- —
Split tunneling (частичное решение). В некоторых VPN-клиентах можно исключить российские приложения из туннеля. Их трафик идёт напрямую, не соприкасаясь с VPN. Этот вариант помогает против части проверок, но приложения, сканирующие tun0, всё равно увидят VPN.
- —Отключение приложений на устройстве. Стоит выключать шпионящие приложения перед работой с VPN. Важно именно остановить их, а не просто свернуть: приложения работают в фоне и могут зафиксировать момент включения VPN.
1.3 Отозвать лишние разрешения
- -Геолокацию оставить только навигаторам и только «при использовании».
- —
Доступ к контактам нужно отозвать у всех приложений, кроме мессенджеров.
- -Доступ к микрофону и камере — только по запросу.
- -Доступ к журналу звонков и SMS — отозвать у всех.
1.4 Фоновая активность
Все 30 анализируемых приложений автозапускаются и работают в фоне. Их стоит ограничить: Настройки → Приложения → Батарея → «Ограничено». Не разрешать обход оптимизации батареи.
Часть 2. Пользователь вне России
2.1 Изоляция обязательна
Если на одном телефоне рядом с приложением Сбера стоят иностранные приложения — любое из таких приложений, отправляющих список установленных программ на сервер, выдаёт вашу страну.
-
Лучший вариант — два телефона. Стоит выделить старый iPhone только для российских приложений.
-
Если телефон один, нужно обязательно использовать Work Profile (Shelter). Так российские приложения не увидят список приложений из основного профиля.
2.2 Геолокация
Права на использование геолокации нужно отозвать у всех российских приложений. Навигация за рубежом только через Google Maps и подобные сервисы.
2.3 Контакты
Лучше отозвать доступ к контактам у всех российских приложений. За рубежом у абонентов контакты местных людей и организаций.
2.4 SIM-карта
Российский оператор сотовой связи, видит роуминг, когда пользователь подключается к его SIM-карте за рубежом. Её нужно перевести в режим «только для SMS» (например, для подтверждения банков). Идеально: российская SIM в телефоне для российских приложений, основная (местная зарубежная) – в основном.
