Le applicazioni mobili, a differenza delle applicazioni Web, sono app native che vengono installate sul sistema operativo mobile mediante un pacchetto. È probabile che un'app mobile segua un approccio client server in cui l'app nativa parla a un server [ad esempio: Facebook, Ebay]
Il controllo del codice sorgente automatizzato è possibile sia sul codice lato server che sul codice lato client. Quasi tutti gli scanner commerciali come IBM Appscan, HP Fortify e Checkmarx hanno moduli che supportano tale analisi per il codice app nativo Android e il codice JAVA lato server e l'obiettivo C.
Tuttavia la scansione dinamica delle applicazioni mobili è molto più complicata. Sarà quasi impossibile per uno scanner eseguire la scansione attraverso i metodi API disponibili. I test manuali producono risultati molto più accurati.