Zscaler ThreatLabz 2025 Mobile, IoT, and OT Threat Report torna a fotografare un panorama delle minacce che non concede tregua. E lo fa con numeri che parlano chiaro: i cybercriminali stanno affinando le tecniche, ampliando il perimetro degli attacchi e sfruttando ogni punto debole dell’ecosistema mobile-first. Il risultato è un aumento significativo dei malware Android, una crescita esplosiva degli attacchi a infrastrutture critiche e un’espansione delle campagne IoT sempre più aggressive.
Il report, basato sulla telemetria mobile globale di Zscaler, identifica centinaia di nuove minacce e attività malevole in crescita, offrendo un quadro dettagliato dei rischi che aziende e utenti devono affrontare in un ambiente digitale sempre più frammentato e interconnesso.
Crescono le app Android malevole: 67% di malware in più e 42 milioni di download, secondo il report di Zscaler
La prima evidenza del report è la conferma di un trend già emerso nel 2024: la diffusione su larga scala di app Android malevole pubblicate su marketplace affidabili. ThreatLabz ha identificato 239 applicazioni nocive sul Google Play Store, scaricate complessivamente 42 milioni di volte. Si tratta soprattutto di app mascherate da strumenti di produttività o gestione dei workflow, collocate nella categoria “Tools”, proprio dove gli utenti si aspettano maggiore affidabilità.
Il volume delle transazioni di malware Android è cresciuto del 67% anno su anno. Spyware e banking malware restano le categorie più diffuse, confermando quanto il contesto lavorativo ibrido e remoto continui a essere un terreno fertile per campagne sofisticate, che sfruttano la fiducia degli utenti verso applicazioni apparentemente innocue.
Zscaler, rnergia e manifatturiero sotto pressione: attacchi IoT/OT in aumento del 387%
Se il mobile continua a rappresentare un bersaglio privilegiato, è nel mondo IoT e OT che si registra uno dei salti più significativi. Gli attacchi al settore energetico sono cresciuti del 387% rispetto allo scorso anno, un dato che ribadisce l’interesse strategico dei criminali informatici verso le infrastrutture critiche.
Il manifatturiero rimane uno dei settori maggiormente colpiti sia a livello mobile sia IoT, ma con una importante novità: i cybercriminali hanno iniziato a diversificare le campagne, portando trasporti ed energia a condividere quasi equamente il peso degli attacchi IoT, ciascuno con il 20,2% degli incidenti. Nel 2024 il manifatturiero da solo rappresentava il 36% degli attacchi, contro il 14% dei trasporti. La frammentazione del 2025 mostra una pressione crescente su più verticali, soprattutto quelli fortemente digitalizzati.
Mirai domina ancora, mentre Mozi supera Gafgyt: il podio dei malware IoT
Sul fronte dei payload malevoli IoT, lo schema non cambia radicalmente ma evolve nella distribuzione. Mirai resta la famiglia più diffusa, responsabile di circa il 40% delle transazioni bloccate. Mozi, invece, supera Gafgyt e diventa la seconda variante più attiva. Insieme, queste tre famiglie coprono circa il 75% di tutto il traffico malevolo IoT osservato.
India guida gli attacchi mobile, gli Stati Uniti restano epicentro IoT
Geograficamente, le minacce mobile risultano concentrate in cinque Paesi, con una forte predominanza dell’India, che registra il 26% di tutto il traffico malevolo mobile e un incremento del 38% rispetto al 2024. Seguono Stati Uniti con il 15%, Canada con il 14%, poi Messico e Sudafrica con percentuali più contenute.
Sul versante IoT, gli Stati Uniti rappresentano sia uno snodo di attività sia il bersaglio principale, con il 54% di tutto il traffico malware IoT. Segue Hong Kong (15%), poi Germania, India e Cina. Il dato conferma come la combinazione di infrastrutture critiche, ampia superficie d’attacco e forte dipendenza da dispositivi connessi continui a rendere il territorio statunitense un obiettivo ad alta redditività.
Minacce emergenti del 2025: backdoor Android, RAT mirati e dominio dell’adware
Il report include diversi highlight che segnalano un’evoluzione tecnica delle campagne malevole. Un nuovo backdoor Android chiamato Void ha infettato 1,6 milioni di TV box, prevalentemente in India e Brasile. Il RAT Xnotice è stato osservato prendere di mira candidati del settore oil & gas nella regione MENA. L’adware supera Joker con il 69% dei casi registrati, mentre Joker scende al 23%, un calo significativo rispetto al 38% dell’anno precedente.
Cambia anche il comportamento economico dei criminali, che sembrano abbandonare progressivamente le frodi legate alle carte fisiche per privilegiare i pagamenti mobile, più redditizi e spesso meno protetti.
“Zero Trust Everywhere” come risposta alla nuova generazione di attacchi
“I criminali si stanno spostando verso aree in cui possono ottenere il massimo impatto. Stiamo osservando un aumento anno su anno del 67% dei malware che colpiscono i dispositivi mobile e del 387% degli attacchi IoT/OT al settore energetico, spesso legato alle infrastrutture critiche, ed è un cambiamento significativo”, afferma Deepen Desai, EVP e Chief Security Officer di Zscaler.
“Un approccio Zero Trust Everywhere, combinato con un rilevamento delle minacce basato sull’intelligenza artificiale, è essenziale per ridurre la superficie d’attacco, limitare il movimento laterale e fornire alle aziende la difesa di cui hanno bisogno contro attacchi in continua evoluzione.”
Zero Trust per mobile, IoT e OT: Zscaler punta su architettura cloud-native e visibilità totale
Le conclusioni del report convergono su un punto chiave: la difesa efficace passa da un modello Zero Trust esteso a ogni livello dell’ecosistema digitale. Zscaler Zero Trust Branch nasce proprio per proteggere filiali, sedi remote e reti distribuite, integrando sicurezza e operational continuity in ambienti sempre più basati su mobile, IoT, Cellular IoT e OT.
Accanto a questa soluzione, Zscaler Cellular estende la sicurezza alle connessioni mobili e cellulari, applicando policy granulari su traffico spesso invisibile ai sistemi tradizionali. L’obiettivo è eliminare superfici d’attacco e garantire protezione e visibilità end-to-end, in linea con un mondo in cui miliardi di dispositivi IoT e mobile rappresentano un potenziale vettore di compromissione.
