Attacchi in aumento e malware in espansione sui dispositivi mobili: il report di ThreatLabz del 2025 su dispositivi mobili, IoT e OT

Dispositivi mobili, sensori IoT e sistemi OT non rappresentano più domini distinti: insieme costituiscono la spina dorsale interconnessa su cui si fondano le moderne infrastrutture e aziende. Dalla linea di produzione e il reparto ospedaliero fino alla catena di approvvigionamento globale, questa convergenza alimenta innovazione ed efficienza. Tuttavia, crea anche una superficie di attacco estesa e interdipendente che gli aggressori colpiscono con velocità e sofisticatezza crescenti.

Per aiutare le organizzazioni a destreggiarsi in questo panorama in continua evoluzione, Zscaler ThreatLabz ha pubblicato il Report del 2025 sulle minacce rivolte a dispositivi mobili, IoT e OT. La nostra ricerca analizza miliardi di attacchi bloccati all'interno di Zscaler Zero Trust Exchange per svelare il modo in cui gli aggressori sfruttano le vulnerabilità dei dispositivi mobili, degli ambienti IoT e dell'ecosistema in espansione dell'IoT connesso alla rete cellulare.

I risultati sono chiari: con l'aumentare della connettività aumenta anche il rischio.

I risultati principali del report di ThreatLabz del 2025

La ricerca di quest'anno individua un aumento significativo delle minacce in tutti i settori, con gli aggressori che si concentrano sui settori critici e sfruttano piattaforme affidabili per diffondere malware.

• Le transazioni malware su Android sono aumentate del 67% su base annua, alimentate da spyware sofisticati e trojan bancari.
• Gli attacchi contro ilsettore energetico sono aumentati del 387%, quelli contro i Trasporti del 382% e quelli contro il settore sanitario del 224%, a sottolineare il crescente rischio per i settori critici.
• Sul Google Play Store, ThreatLabz ha identificato 239 applicazioni dannose che sono state scaricate complessivamente 42 milioni di volte, a dimostrazione del modo in cui gli aggressori possono aggirare le difese ufficiali del marketplace.
• Le botnet IoT continuano a essere una forza dominante, con le famiglie di malware Mirai, Mozi e Gafgyt che rappresentano il 75% di tutti i payload IoT dannosi.

I router continuano a essere l'obiettivo principale degli attacchi IoT, rappresentando oltre il 75% di tutti gli incidenti osservati. Questo accade perché gli aggressori li utilizzano come punti d'ingresso per l'espansione delle botnet e il movimento laterale.

Un maggiore focus sui settori critici

Sebbene il settore manifatturiero rimanga il principale obiettivo dei malware rivolti all'IoT, il nostro report evidenzia un aumento significativo degli attacchi contro altri settori essenziali. Gli autori delle minacce seguono la strada della trasformazione digitale, prendendo di mira i settori in cui le interruzioni hanno l'impatto maggiore.

Il notevole aumento degli attacchi ai settori di Energia, Sanità, Trasporti e Governo evidenzia un cambiamento strategico. Gli aggressori sono consapevoli dell'ambiente ad alto rischio che caratterizza questi settori, in cui le interruzioni operative, il furto di dati sensibili e i danni alla reputazione possono essere significativi. L'interconnettività tra questi settori, unita al loro ruolo fondamentale nella società, li rende bersagli privilegiati per campagne sofisticate.

I confini sempre più labili degli attacchi

La nostra ricerca dimostra che gli aggressori non fanno più distinzioni tra i tipi di dispositivi, ma vedono un unico ecosistema connesso da sfruttare.

• I dispositivi mobili come punti d'ingresso principali: con la diffusione del lavoro ibrido e delle politiche BYOD (in cui i dipendenti possono lavorare sui propri dispositivi personali), i dispositivi mobili rappresentano un punto di accesso primario. Gli aggressori utilizzano tecniche avanzate di phishing (mishing), trojan bancari e spyware per compromettere gli endpoint e accedere alle risorse aziendali.
• Attacchi automatizzati tramite botnet IoT: gli autori delle minacce continuano a sfruttare dispositivi IoT senza patch o configurati in modo errato, in particolare router pubblici. Una volta compromessi, questi dispositivi vengono inclusi in potenti botnet come Mirai per lanciare attacchi DDoS, propagare malware e muoversi lateralmente tra le reti.
• La superficie nascosta delle reti cellulari: la rapida adozione di dispositivi IoT connessi alla rete cellulare nei settori della logistica, della produzione e delle infrastrutture intelligenti crea nuovi punti ciechi. Senza visibilità granulare e sicurezza a livello di SIM, le organizzazioni sono esposte al rischio di esfiltrazione dei dati, uso improprio dei dispositivi e potenziali violazioni del perimetro.

Uno degli esempi più evidenti di questa minaccia convergente è l'evoluzione del malware per il mobile banking.

Malware bancario: il portafoglio digitale è un obiettivo primario

La comodità del mobile banking ha trasformato il modo in cui gestiamo le nostre finanze, ma questo non è passato inosservato agli aggressori. I moderni malware bancari per Android si sono evoluti da semplici programmi di furto di credenziali a Trojan multifunzionali progettati per aggirare i controlli di sicurezza e rubare fondi.

I malintenzionati utilizzano sofisticati trojan bancari come Anatsa, Ermac e TrickMo, che spesso si mascherano da app legittime o strumenti di produttività, sia sugli store ufficiali sia in quelli di terze parti. Una volta installati, utilizzano tecniche altamente ingannevoli per acquisire nomi utente, password e persino i codici di autenticazione a due fattori (2FA) necessari per autorizzare le transazioni. La nostra ricerca mostra che l'aumento del malware sui dispositivi mobili è dovuto in gran parte alla redditività e all'efficacia di questi trojan bancari.

Le caratteristiche principali dei moderni malware bancari per Android:

• Attacchi overlay: il malware rileva quando un utente apre un'app bancaria legittima e sovrappone alla pagina una finestra di accesso falsa e realistica per rubare le credenziali.
• Intercettazione e reindirizzamento SMS: per aggirare l'autenticazione a due fattori, i trojan come Ermac ottengono l'autorizzazione a leggere e nascondere i messaggi SMS in arrivo, riuscendo così ad acquisire le password monouso (OTP).
• Abuso dei servizi di accessibilità: il trojan Anatsa è noto per l'abuso delle autorizzazioni dei Servizi di accessibilità, che utilizza per eseguire frodi sui dispositivi, simulando i tocchi degli utenti per navigare nelle app bancarie e approvare le transazioni in modo autonomo.
• Keylogging e registrazione dello schermo: molte varianti registrano le sequenze di tasti premuti o il contenuto dello schermo per garantire l'acquisizione di credenziali sensibili, anche se altri metodi falliscono.

Trojan di accesso remoto (RAT): i malware avanzati, tra cui le varianti di TrickMo, fungono anche da RAT completi, consentendo all'aggressore di ottenere il controllo remoto diretto di un dispositivo.

Proteggere il futuro con un approccio zero trust

La convergenza delle minacce mobili, IoT e OT rende inefficaci i modelli di sicurezza tradizionali basati sul perimetro. Per difendere questo panorama complesso, è necessaria una strategia unificata basata sui principi dello zero trust

Questo modello deve essere esteso alla superficie nascosta delle reti cellulari. Con Zscaler for Cellular IoT, le organizzazioni possono applicare la potenza di Zero Trust Exchange direttamente ai dispositivi che dispongono di una SIM, sostituendo gli IP pubblici vulnerabili con un percorso diretto e sicuro verso il cloud Zscaler. Questo consente alle organizzazioni di applicare policy granulari a livello SIM, ispezionare tutto il traffico IoT alla ricerca di minacce e impedire il movimento laterale.

Allo stesso tempo, le organizzazioni devono proteggere i numerosissimi dispositivi IoT e OT in funzione nelle loro sedi fisiche. Nelle reti piatte all'interno di filiali, fabbriche e magazzini, un singolo sensore o controller compromesso può diventare un gateway tramite il quale un aggressore può spostarsi lateralmente e interrompere le operazioni. Distribuendo Zscaler for Branch and Factory, tutto il traffico proveniente da questi siti, incluso quello proveniente da dispositivi IoT/OT headless, viene instradato attraverso il cloud Zscaler per un'ispezione completa e l'applicazione delle policy. In questo modo, le sedi vengono isolate dalla WAN aziendale e tra loro, impedendo che una violazione in un sito si diffonda all'intera azienda.

Le organizzazioni devono adottare un'architettura di sicurezza che elimini la superficie di attacco, impedisca il movimento laterale delle minacce e blocchi la perdita di dati. Questo richiede una segmentazione granulare per isolare i sistemi critici, l'applicazione del rilevamento delle minacce basato sull'AI per identificare le anomalie e l'applicazione di policy di sicurezza coerenti su ogni dispositivo, utente e applicazione, indipendentemente dalla posizione e la modalità della connessione.

Scarica il report completo

I risultati di questo articolo sono solo l'inizio. Il report di Zscaler ThreatLabz del 2025 sulle minacce rivolte a dispositivi mobili, IoT e OT fornisce analisi approfondite, casi di studio e consigli pratici per aiutarti a proteggere il tuo ecosistema connesso.

Scarica subito il report completo per:

• Una panoramica dettagliata delle principali famiglie di malware e tecniche di attacco.
• Un'analisi approfondita dei settori e delle aree geografiche più presi di mira.
• Le best practice per l'implementazione di un'architettura zero trust per dispositivi mobili, IoT e OT.
• Le nostre previsioni sull'evoluzione del panorama delle minacce nel 2026.