Angriffe auf Industrieanlagen nehmen rasant zu, Malware im Mobilbereich breitet sich aus: ThreatLabz-Report 2025 zu Mobilgeräten und IoT & OT

Mobilgeräte, IoT-Sensoren und OT-Systeme sind keine voneinander getrennten Bereiche mehr; sie bilden das vernetzte Rückgrat moderner Unternehmen und Infrastrukturen. Von der Fabrikhalle und der Krankenhausstation bis hin zur globalen Lieferkette – diese Konvergenz treibt Innovation und Effizienz voran. Allerdings ist dadurch auch eine weitverzweigte Angriffsfläche entstanden, die Bedrohungsakteure mit zunehmender Geschwindigkeit und Raffinesse ausnutzen.

Um Unternehmen bei der Orientierung in diesem dynamischen Umfeld zu unterstützen, hat Zscaler ThreatLabz den Report zu Bedrohungen gegen Mobilgeräte, IoT und OT 2025 veröffentlicht. Unsere Forschung analysiert Milliarden blockierter Angriffe innerhalb der Zscaler Zero Trust Exchange, um aufzuzeigen, wie Angreifer Schwachstellen in Mobilgeräten, IoT-Umgebungen und dem wachsenden Ökosystem über Mobilfunk vernetzter IoT-Geräte ausnutzen.

Die Ergebnisse sind eindeutig: Mit zunehmender Vernetzung steigt auch das Risiko.

Wichtigste Erkenntnisse aus dem ThreatLabz-Bericht 2025

Die diesjährige Studie stellt einen deutlichen Anstieg der Bedrohungen in allen Bereichen fest. Angreifer konzentrieren sich dabei auf kritische Branchen und nutzen vertrauenswürdige Plattformen, um Schadsoftware zu verbreiten.

• Die Anzahl der Malware-Transaktionen auf Android-Geräten stieg im Jahresvergleichum 67 %, angetrieben von ausgeklügelter Spyware und Banking-Trojanern.
• Die Zunahme der Angriffe auf den Energiesektor um 387 % ,  im Verkehrswesen um 382 % und im Gesundheitswesen um 224 %, unterstreicht das wachsende Risiko für systemrelevante Branchen.
• ThreatLabz identifizierte 239 schädliche Anwendungen im Google Play Store, die insgesamt42 Millionen Malheruntergeladen wurden.
• IoT-Botnetze bleiben eine dominierende Kraft, wobei die Malware-Gruppen Mirai, Mozi und Gafgyt für75 % aller schädlichen IoT-Payloads verantwortlich sind.

Router bleiben das Hauptziel von IoT-Angriffen und machen über 75 % aller beobachteten Vorfälle aus, da Angreifer sie als Einfallstor für die Botnetzerweiterung und laterale Ausbreitung ausnutzen.

Verstärkter Fokus auf systemrelevante Branchen

Während die Fertigungsbranche nach wie vor das Hauptziel von IoT-Malware ist, zeigt unser Bericht einen deutlichen Anstieg der Angriffe auf andere systemrelevante Sektoren. Bedrohungsakteure folgen dem Pfad der digitalen Transformation und zielen auf Branchen ab, in denen Umbrüche die größten Auswirkungen haben.

Das bemerkenswerte Wachstum der Angriffe auf die Sektoren Energie, Gesundheitswesen, Transport und Behörden verdeutlicht einen strategischen Wandel. Angreifer erkennen das hohe Risiko in diesen Branchen, wo das Potenzial für Betriebsstörungen, Diebstahl vertraulicher Daten und Reputationsschäden erheblich ist. Die Vernetzung dieser Branchen und ihre entscheidende Rolle in der Gesellschaft machen sie zu idealen Zielen für ausgeklügelte Kampagnen.

Die Grenzen verschwimmen

Unsere Forschung zeigt, dass Angreifer nicht mehr zwischen verschiedenen Gerätetypen unterscheiden; sie sehen ein einziges, vernetztes Ökosystem, das sie ausnutzen können.

• Mobilgeräte als wichtiger Zugangspunkt: Mit dem Aufkommen hybrider Arbeitsmodelle und BYOD-Richtlinien stellen Mobilgeräte ein primäres Einfallstor dar. Angreifer nutzen fortgeschrittenes Phishing (Mishing), Banking-Trojaner und Spyware, um Endgeräte zu kompromittieren und Zugriff auf Unternehmensressourcen zu erlangen.
• Automatisierte Angriffe über IoT-Botnetze: Cyberkriminelle nutzen weiterhin ungepatchte oder falsch konfigurierte IoT-Geräte aus, insbesondere öffentlich zugängliche Router. Sobald diese Geräte kompromittiert sind, werden sie in leistungsstarke Botnetze wie Mirai eingebunden, um DDoS-Angriffe zu starten, Schadsoftware zu verbreiten und sich lateral in Netzwerken auszubreiten.
• Mobilfunk als Angriffsfläche: Die rasante Verbreitung von IoT-Geräten mit Mobilfunkverbindungen in Logistik, Fertigung und intelligenter Infrastruktur schafft neue Sicherheitslücken. Ohne detaillierte Transparenz und Sicherheit auf SIM-Karten-Ebene sind Unternehmen dem Risiko von Datenexfiltrationen, Gerätemissbrauch und potenziellen Sicherheitslücken ausgesetzt.

Eines der prominentesten Beispiele für diese kombinierte Bedrohung ist die Entwicklung von Malware, die sich gegen Mobilanwendungen im Banksektor richtet.

Banking-Malware: Die digitale Geldbörse ist ein Hauptziel

Die Bequemlichkeit des Mobil-Bankings hat die Art und Weise, wie wir unsere Finanzen verwalten, grundlegend verändert, aber das ist auch Cyberkriminellen nicht entgangen. Android-Banking-Malware hat sich vom einfachen Anmeldedatendiebstahl zu multifunktionalen Trojanern entwickelt, die Sicherheitskontrollen umgehen und Gelder stehlen können.

Cyberkriminelle setzen hochentwickelte Banking-Trojaner wieAnatsa,ErmacundTrickMoein, die sich häufig als legitime Hilfsprogramme oder Produktivitäts-Apps in offiziellen und alternativen App-Stores tarnen. Nach der Installation nutzen sie raffinierte Täuschungsmethoden, um Usernamen, Passwörter und sogar die für die Autorisierung von Transaktionen erforderlichen Zwei-Faktor-Authentifizierungscodes (2FA) abzufangen. Unsere Forschung zeigt, dass der Anstieg von Malware im Mobilbereich maßgeblich durch die Profitabilität und Effektivität dieser Banking-Trojaner bedingt ist.

Hauptmerkmale aktueller Android-Banking-Malware:

• Overlay-Angriffe: Die Schadsoftware erkennt, wenn ein User eine legitime Banking-App öffnet, und legt darüber ein gefälschtes, pixelgenaues Anmeldefenster, um Anmeldedaten zu stehlen.
• SMS-Umleitung: Um die Zwei-Faktor-Authentifizierung zu umgehen, verschaffen sich Trojaner wie Ermac die Berechtigung, eingehende SMS-Nachrichten zu lesen und zu verbergen, wodurch sie Einmalpasswörter abfangen können.
• Missbrauch von Barrierefreiheitsdiensten: Der Anatsa-Trojaner ist dafür bekannt, dass er Berechtigungen für Bedienungshilfen missbraucht, um Betrug auf dem Gerät durchzuführen, indem er Usereingaben simuliert, um in Banking-Apps zu navigieren und Transaktionen selbstständig zu genehmigen.
• Tastaturaufzeichnung und Bildschirmaufzeichnung: Viele Varianten protokollieren Tastatureingaben oder zeichnen den Bildschirminhalt auf, um sicherzustellen, dass sie vertrauliche Anmeldedaten erfassen, selbst wenn andere Methoden versagen.

RAT-Funktionen (Remote-Access-Trojaner): Hochentwickelte Schadsoftware, darunter Varianten von TrickMo, fungiert gleichzeitig als vollwertiger RAT (Remote Access Trojan) und ermöglicht dem Angreifer die direkte Remote-Steuerung eines Geräts.

Der Zero-Trust-Ansatz für zukunftsfähige Sicherheit

Das Zusammenwirken von Bedrohungen aus den Bereichen Mobilanwendungen, IoT und OT führt dazu, dass traditionelle, perimeterbasierte Sicherheitsmodelle wirkungslos bleiben. Der Schutz dieser komplexen Umgebungen erfordert eine einheitliche Strategie, die auf dem Zero-Trust-Prinzip basiert.

Dieser Ansatz muss auch auf die Mobilfunk-Angriffsfläche ausgedehnt werden. Mit Zscaler for Cellular IoT können Unternehmen die Leistungsfähigkeit der Zero Trust Exchange direkt auf SIM-fähige Geräte anwenden und so anfällige, öffentlich zugängliche IPs durch einen direkten, sicheren Pfad zur Zscaler-Cloud ersetzen. Dies ermöglicht Unternehmen, granulare Richtlinien auf SIM-Ebene durchzusetzen, den gesamten IoT-Traffic auf Bedrohungen zu überprüfen und eine laterale Ausbreitung zu verhindern.

Gleichzeitig müssen Unternehmen die Tausenden von IoT- und OT-Geräten sichern, die in ihren physischen Räumlichkeiten im Einsatz sind. In flachen Netzwerken innerhalb von Filialen, Fabriken und Lagerhallen kann ein einzelner kompromittierter Sensor oder Controller zu einem Einfallstor für einen Angreifer werden, um sich seitlich auszubreiten und den Betrieb zu stören. Durch den Einsatz von Zscaler für Branch und Factory wird der gesamte Traffic dieser Standorte – einschließlich des Traffics von Headless-IoT/OT-Systemen – zur lückenlosen Überprüfung und Durchsetzung von Richtlinien über die Zscaler-Cloud geleitet. Dadurch werden die Standorte vom Unternehmens-WAN und voneinander isoliert, wodurch verhindert wird, dass sich eine Sicherheitslücke an einem Standort im gesamten Unternehmen ausbreitet.

Letztendlich müssen Unternehmen auf eine Sicherheitsarchitektur umsteigen, die die Angriffsfläche eliminiert, die lateralen Ausbreitung von Bedrohungen verhindert und Datenverluste stoppt. Dies beinhaltet die Implementierung einer granularen Segmentierung zur Isolierung kritischer Systeme, die Anwendung KI-gestützter Bedrohungserkennung zur Identifizierung von Anomalien und die Durchsetzung einheitlicher Sicherheitsrichtlinien für jedes Gerät, jeden Benutzer und jede Anwendung – unabhängig davon, wie und wo diese verbunden sind.

Den vollständigen Report herunterladen

In diesem Blogbeitrag können die Ergebnisse nur auszugsweise vorgestellt werden. Der Report von Zscaler ThreatLabz zu Bedrohungen für Mobilgeräte, IoT und OT enthält detaillierte Analysen, Fallstudien und umsetzbare Empfehlungen, die Ihnen helfen, Ihr vernetztes Ökosystem zu sichern.

Laden Sie den vollständigen Bericht noch heute herunter und profitieren Sie von Erkenntnissen zu folgenden Schwerpunktthemen:

• Detaillierte Aufschlüsselungen der wichtigsten Malware-Gruppen und Angriffstechniken.
• Detaillierte Analyse der am stärksten betroffenen Branchen und Regionen.
• Bewährte Verfahren zur Implementierung einer Zero-Trust-Architektur für Mobilgeräte, IoT und OT.
• Unsere Prognosen für die dynamische Bedrohungslage im Jahr 2026.