L’illusione che scaricare applicazioni esclusivamente dagli store ufficiali garantisca l’immunità è stata definitivamente infranta. Lo Zscaler ThreatLabz 2025 Mobile, IoT, and OT Threat Report dipinge infatti un quadro inquietante sulla sofisticazione della catena di distribuzione del malware.

Il dato più allarmante non è il malware in sé ma la sua mimetizzazione, considerando che 239 applicazioni malevole hanno superato i controlli di sicurezza del Google Play Store accumulando oltre 42 milioni di download. Non stiamo parlando di app oscure, ma di software che si inseriscono perfettamente nel flusso di lavoro quotidiano tra lettori PDF, scanner QR e gestori di file.

I cybercriminali hanno quindi compreso che il vettore d’attacco più efficace è la produttività. Inserendo codice malevolo nella categoria Tools, sfruttano lo Shadow IT personale dei dipendenti che, cercando di lavorare meglio in mobilità, aprono involontariamente le porte aziendali a spyware e banking trojan.

Il risultato, secondo il report di Zscaler, è un incremento del 67% su base annua delle transazioni malware su Android, con una chiara strategia di colpire l’utente business dove le difese perimetrali aziendali non arrivano, ovvero sul dispositivo personale usato per scopi lavorativi (BYOD).

Guerra ibrida: l’assalto alle infrastrutture critiche (OT)

Se il mobile è il vettore per il furto di identità e dati, l’Internet of Things (IoT) e l’Operational Technology (OT) sono il campo di battaglia per il sabotaggio industriale. Il report evidenzia una chiara strategia degli attaccanti verso settori dove un fermo macchina costa milioni o minaccia la sicurezza pubblica.

Il settore energetico ha così visto un’impennata mostruosa degli attacchi (+387%). Questo dato suggerisce un interesse che va oltre il semplice guadagno finanziario, sfociando potenzialmente nel cyber-warfare o nell’attivismo politico destabilizzante. Parallelamente, il settore manifatturiero e quello dei trasporti si spartiscono equamente il 40% degli incidenti malware IoT (20,2% ciascuno). Rispetto al 2024, dove il manifatturiero era il bersaglio quasi esclusivo, vediamo ora una diversificazione tattica per la quale gli attaccanti stanno cercando i punti deboli lungo tutta la catena logistica globale, non solo nelle fabbriche, ma anche nei sistemi che spostano le merci.

Zscaler malware

Dal punto di vista tecnico, il panorama delle minacce IoT è dominato da vecchie conoscenze che continuano ad evolversi. Nonostante sia noti da anni, la famiglia Mirai gestisce ancora il 40% dei payload malevoli, sfruttando la cronica mancanza di hardening (come le password di default) nei dispositivi connessi. Un cambiamento rilevante è l’ascesa di Mozi, che ha scalzato Gafgyt diventando la seconda minaccia più attiva. Queste botnet trasformano telecamere, router e sensori industriali in eserciti “zombie” pronti a lanciare attacchi DDoS massivi o a fungere da proxy per movimenti laterali all’interno delle reti aziendali.

Geopolitica del malware: nuovi vettori e bersagli

La geografia degli attacchi riflette le dinamiche economiche globali.

  • Mobile: L’India è diventata il bersaglio numero uno (26% degli attacchi), con un incremento del 38% delle minacce, seguita da USA e Canada. È qui che emerge la minaccia “Android Void”, una backdoor che ha infettato 1,6 milioni di TV box, dimostrando come anche l’elettronica di consumo domestica sia un vettore aziendale se connessa alla stessa rete Wi-Fi del laptop di lavoro
  • IoT: Gli Stati Uniti rimangono l’epicentro assoluto, attirando il 54% di tutto il traffico malware IoT globale. La concentrazione di infrastrutture smart rende gli USA il bersaglio più redditizio

Particolarmente insidioso è il trend del social engineering mirato. Il nuovo RAT (Remote Access Trojan) Xnotice è stato rilevato mentre prendeva di mira specificamente i candidati in cerca di lavoro nel settore oil & gas in Medio Oriente, dimostrando una capacità di profilazione delle vittime estremamente granulare.

La risposta obbligata: Zero Trust

Di fronte a uno scenario in cui l’adware mobile diventa la minaccia predominante (69% dei casi, superando il malware Joker) e i pagamenti mobile sostituiscono le carte fisiche come obiettivo di frode, le difese tradizionali basate su firme antivirus sono obsolete. Come sottolineato da Deepen Desai, CSO di Zscaler, l’unica dottrina difensiva sostenibile è lo Zero Trust Everywhere.

La sicurezza deve infatti spostarsi dal perimetro (la rete) all’identità e al contesto, utilizzando l’intelligenza artificiale per analizzare il comportamento in tempo reale e bloccare i movimenti laterali prima che l’intrusione diventi una violazione catastrofica.