Explosion des attaques sectorielles, propagation des malwares mobiles : Rapport ThreatLabz 2025 sur les menaces ciblant les dispositifs mobiles, IoT et OT

Les appareils mobiles, les capteurs IoT et les systèmes OT ne constituent plus des domaines distincts, ils forment l’épine dorsale interconnectée des entreprises et des infrastructures modernes. De l’usine au service hospitalier, en passant par la chaîne d’approvisionnement mondiale, cette convergence stimule l’innovation et l’efficacité. Mais elle a également créé une surface d’attaque tentaculaire et interdépendante que les acteurs malveillants exploitent avec une rapidité et une sophistication croissantes.

Pour aider les entreprises à s’orienter dans ce paysage en constante évolution, Zscaler ThreatLabz a publié le rapport 2025 sur les menaces ciblant les dispositifs mobiles, IoT et OT. L’analyse de milliards d’attaques bloquées au sein de la plateforme Zscaler Zero Trust Exchange détaille comment les attaquants exploitent les vulnérabilités des appareils mobiles, des environnements IoT et de l’écosystème en pleine expansion de l’IoT connecté aux réseaux cellulaires.

Le constat est clair : plus la connectivité se développe, plus le risque augmente.

Principales conclusions du rapport ThreatLabz 2025

Les recherches menées cette année révèlent une hausse marquée des menaces dans tous les secteurs, les hackers ciblant en priorité les industries critiques et s’appuyant sur des plateformes de confiance pour diffuser leurs malwares.

• Les transactions liées aux malwares Android ont augmenté de 67 % sur un an, alimentées par des spywares sophistiqués et des chevaux de Troie bancaires.
• Les attaques visant lesecteur de l’énergie ont augmenté de 387 %, celles ciblant letransport de 382 %, et celles touchant les soins de santé de 224 %, illustrant la montée du risque pour les industries critiques.
• ThreatLabz a identifié 239 applications malveillantes sur le Google Play Store, totalisant 42 millions de téléchargements — preuve que les attaquants parviennent encore à contourner les protections des marketplaces officielles.
• Les botnets IoT restent une force dominante, les familles de malwares Mirai, Mozi et Gafgyt représentant 75 % de tous les payloads IoT malveillants.

Les routeurs demeurent la cible privilégiée des attaques IoT, concentrant plus de 75 % des incidents. Les hackers les exploitent comme points d’entrée pour étendre des botnets et faciliter les déplacements latéraux.

Les secteurs critiques davantage ciblés

Si la production industrielle reste la principale cible des malwares IoT, le rapport révèle une hausse marquée des attaques contre d’autres secteurs essentiels. Les acteurs malveillants suivent la voie de la transformation numérique et ciblent les secteurs où les perturbations causent le plus d’impact.

La croissance notable des attaques contre les secteurs de l’énergie, de la santé, des transports et du gouvernement souligne un changement stratégique. Les hackers reconnaissent les enjeux élevés de ces secteurs, où le risque de perturbation opérationnelle, de vol de données sensibles et d’atteinte à la réputation est considérable. L’interdépendance de ces industries, associée à leur rôle vital dans la société, en fait des cibles privilégiées pour des campagnes sophistiquées.

Des frontières d’attaque de plus en plus floues

Nos recherches révèlent que les hackers ne font plus de distinction entre les types d’appareils, ils voient un seul écosystème connecté à exploiter.

• Les terminaux mobiles comme point d’entrée majeur : avec l’essor du travail hybride et des politiques BYOD, les appareils mobiles sont devenus un vecteur d’accès privilégié. Les hackers s’appuient sur du phishing avancé (mishing), des chevaux de Troie bancaires et des spywares pour compromettre les terminaux et accéder aux ressources de l’entreprise.
• Attaques automatisées via des botnets IoT : les acteurs malveillants continuent d’exploiter des appareils IoT non patchés ou mal configurés, en particulier les routeurs exposés au public. Une fois compromis, ces équipements sont enrôlés dans des botnets comme Mirai pour lancer des attaques DDoS, propager des malwares et se déplacer latéralement sur les réseaux.
• La zone d’ombre du cellulaire : l’adoption rapide de l’IoT cellulaire dans la logistique, la production industrielle et les infrastructures intelligentes crée de nouveaux angles morts. Sans visibilité précise et sans sécurité au niveau de la carte SIM, les entreprises s’exposent à l’exfiltration de données, à l’utilisation abusive des appareils et à des intrusions potentiellement dangereuses.

L’évolution du malware bancaire mobile illustre parfaitement cette menace convergente.

Malware bancaire : le portefeuille numérique est une cible de choix

La généralisation des services bancaires mobiles a transformé la gestion quotidienne de nos finances, et les acteurs malveillants l’ont très vite exploité. Les malwares bancaires Android se sont considérablement sophistiqués, de simples voleurs d’identifiants, ces programmes sont devenus des trojans polyvalents capables de contourner les contrôles de sécurité et de dérober des fonds.

Les cybercriminels déploient des chevaux de Troie bancaires sophistiqués tels que Anatsa, Ermacet TrickMo, souvent déguisés en utilitaires ou en applications de productivité légitimes sur les stores officiels comme sur les plateformes tierces. Une fois installés, ils utilisent des techniques de fraude particulièrement convaincantes pour capturer identifiants, mots de passe et même les codes 2FA nécessaires pour autoriser des transactions. Selon nos analyses, la progression du malware mobile est largement tirée par la rentabilité et l’efficacité de ces chevaux de Troie bancaires.

Principales caractéristiques des malwares bancaires Android modernes :

• Attaques par superposition : le malware détecte l’ouverture d’une application bancaire légitime et affiche par-dessus une fenêtre de connexion falsifiée et visuellement indiscernable, afin de voler les identifiants.
• Interception et redirection des SMS  : pour contourner la 2FA, des trojans comme Ermac obtiennent l’autorisation de lire et de masquer les SMS entrants, ce qui leur permet de capturer les mots de passe à usage unique (OTP).
• Abus des services d’accessibilité : le trojan Anatsa est connu pour détourner ces autorisations afin d’exécuter des fraudes directement sur l’appareil, en simulant les interactions de l’utilisateur pour naviguer dans les apps bancaires et approuver des transactions.
• Enregistrement des frappes au clavier et de l’écran : de nombreuses variantes consignent les frappes clavier ou capturent l’écran pour récupérer des identifiants sensibles, même lorsque les autres méthodes échouent.

Fonctionnalités RAT (Remote Access Trojan)  : certains malwares évolués, notamment des variantes de TrickMo, agissent aussi comme des RAT complets, et offrent aux hackers un contrôle direct de l’appareil.

Sécuriser l’avenir avec une approche Zero Trust

La convergence des menaces ciblant les environnements mobiles, IoT et OT dépasse les capacités des modèles de sécurité périmétriques traditionnels. Protéger cet environnement complexe exige une stratégie unifiée qui repose sur les principes du Zero Trust.

Cette approche doit s’étendre à la zone d’ombre cellulaire. Avec Zscaler for Cellular IoT, les entreprises peuvent appliquer la puissance du Zero Trust Exchange directement aux appareils équipés de SIM, en remplaçant les adresses IP publiques vulnérables par un chemin sécurisé et direct vers le cloud Zscaler. Elles peuvent ainsi appliquer des politiques fines au niveau de la SIM, inspecter l’ensemble du trafic IoT et empêcher les déplacements latéraux.

Parallèlement, les entreprises doivent sécuriser les milliers d’appareils IoT et OT déployés dans leurs sites physiques. Dans les réseaux internes des sites distants, usines et entrepôts, un seul capteur ou contrôleur compromis peut fournir un point d’entrée permettant à un attaquant de se déplacer latéralement et de perturber les opérations. En déployant Zscaler for Branch and Factory, tout le trafic de ces sites, y compris celui des appareils IoT/OT headless (dépourvus d’interface utilisateur), transite par le cloud de Zscaler pour une inspection complète et l’application des politiques de sécurité. Cette approche isole chaque site du WAN de l’entreprise et des autres sites, de sorte qu’une compromission locale ne pourra pas se propager à l’ensemble de l’entreprise.

À terme, les entreprises doivent adopter une architecture de sécurité qui élimine la surface d’attaque, empêche la propagation latérale des menaces et stoppe la perte de données. Cela implique de segmenter finement les systèmes critiques, d’utiliser une détection des menaces pilotée par l’IA pour repérer les anomalies, et d’appliquer des politiques de sécurité cohérentes à chaque appareil, utilisateur et application — quel que soit leur mode ou lieu de connexion.

Télécharger le rapport complet

Les conclusions présentées dans ce blog ne sont qu’un début. Le rapport ThreatLabz 2025 sur les menaces ciblant les dispositifs mobiles, IoT et OT propose des analyses approfondies, des études de cas et des recommandations exploitables pour sécuriser votre écosystème connecté.

Téléchargez le rapport complet pour découvrir :

• Une étude détaillée des principales familles de malwares et de leurs techniques d’attaque.
• Une analyse approfondie des secteurs et zones géographiques les plus ciblés.
• Les bonnes pratiques pour déployer une architecture Zero Trust adaptée aux environnements mobiles, IoT et OT
• Nos prévisions pour 2026 concernant l’évolution du paysage des menaces.