Атаки на Android и IoT выросли в несколько раз в 2025 году. Вредоносное ПО скачали более 42 миллионов раз

Редакция SecPost.ru подготовила обзор по материалам ежегодного отчета Zscaler «ThreatLabz 2025 Mobile, IoT & OT Threat Report». Компания Zscaler занимается разработкой облачных решений в области кибербезопасности, а ее подразделение ThreatLabz исследует глобальные тенденции киберугроз. Отчет ThreatLabz показывает, что границы между мобильными, IoT- и промышленными сетями фактически исчезли, а значит, одна уязвимость может привести к масштабным последствиям. Рост атак на Android и взрывная активность ботнетов подтверждают: защита должна охватывать все уровни инфраструктуры — от пользовательских устройств до производственных систем. Принцип Zero Trust и постоянный контроль сетевого трафика становятся базовыми условиями цифровой устойчивости.

Общая картина угроз

За год число атак на мобильные устройства и системы Интернета вещей (IoT, Internet of Things) выросло во всех сегментах. По данным Zscaler, количество вредоносных операций на Android увеличилось на 67%, а объем атак на промышленные и энергетические сети (OT, Operational Technology) — на 387%. Основная часть активности связана с троянами и ботнетами — распределенными сетями зараженных устройств, которые злоумышленники используют для атак и распространения вредоносного кода.

Среди наиболее заметных тенденций эксперты отмечают возвращение вредоносов старых семейств. Mirai, Mozi и Gafgyt (варианты IoT-вирусов, формирующих ботнеты) по-прежнему доминируют в сегменте Интернета вещей и отвечают примерно за три четверти всех вредоносных нагрузок, зафиксированных системой Zscaler. Эти программы заражают роутеры, видеокамеры и другое сетевое оборудование, превращая его в часть распределенной сети, которая используется для DDoS-атак или проникновения во внутренние корпоративные сети. В мобильном сегменте активнее всего ведут себя банковские трояны и шпионские программы, маскирующиеся под легальные приложения.

География угроз, как следует из отчета, также сместилась. Индия, США и Канада вместе формируют более половины мирового объема вредоносного мобильного трафика, при этом в Индии рост атак составил 38% за год. В IoT-сегменте лидерство сохраняют США (54% всех зафиксированных атак), но активность быстро растет в Гонконге, Германии и Индии.

По оценке ThreatLabz, злоумышленники концентрируются там, где сбои могут иметь максимальный эффект — в энергетике, транспорте, производстве и телеком-инфраструктуре. Совмещение мобильных, IoT- и OT-сетей расширяет поле атаки: уязвимость в одном устройстве может стать входом для атаки на другие уровни корпоративной экосистемы.

Мобильные угрозы

Число атак на Android выросло на 67%. За год Zscaler зафиксировал более 30 млн попыток заражения, причем большая часть пришлась на трояны и шпионские программы. Они маскируются под обычные приложения, получают расширенные разрешения и перехватывают данные пользователей.

Главная угроза — банковские трояны вроде Anatsa, Ermac и Trickmo, которые крадут учетные данные, коды подтверждения и управляют платежами. Они распространяются через магазин Google Play: только за год туда попало 239 вредоносных приложений, которые были скачаны более 42 млн раз.

Другой тренд — рост шпионских программ (SpyNote, SpyLoan, BadBazaar), использующих сервис Accessibility. Этот системный механизм предназначен для помощи людям с ограничениями, но позволяет приложениям читать экран, нажимать кнопки и выполнять действия от имени пользователя. Этим злоумышленники пользуются, чтобы получать полный контроль над устройством.

Все чаще атаки проходят через социальную инженерию: поддельные сообщения, звонки и QR-коды. Жертве предлагают подтвердить доставку или разблокировать счет, после чего она сама вводит нужные данные.

Наибольшая активность фиксируется в Индии, США и Канаде, где мобильные устройства активно используются в работе и банковских операциях. В Европе заметен рост атак в Италии и Израиле.

Промышленные и IoT-сегменты

Интернет вещей (IoT) и промышленные системы (OT) остаются одной из главных мишеней кибератак. По данным Zscaler, семейства Mirai, Mozi и Gafgyt формируют около 75% всех вредоносных нагрузок, зафиксированных в этом сегменте. Эти программы заражают роутеры, камеры и другое оборудование, превращая его в ботнеты, которые используются для DDoS-атак и проникновения во внутренние сети. Они часто становятся первым звеном атаки, когда злоумышленники через ошибку в конфигурации или незащищенный веб-интерфейс получают возможность выполнять команды на устройстве.

Рост атак особенно заметен в производственном и энергетическом секторах. На долю этих отраслей приходится около 40% всех IoT-инцидентов, а в энергетике число атак за год увеличилось почти в пять раз. Растет интерес злоумышленников и к транспорту, рознице, а также к учреждениям образования и развлечений, где быстро внедряются «умные» устройства.

С географической точки зрения лидируют США (54% IoT-активности), за ними следуют Гонконг, Германия, Индия и Китай. Распределение показывает: ботнеты становятся глобальными и быстро адаптируются к региональным сетям и типам оборудования.

Основной объем IoT-трафика формируют ритейл и логистика. Терминалы сбора данных, кассы, камеры и медиаустройства остаются наиболее уязвимыми узлами корпоративной инфраструктуры, где нередко используются устаревшие прошивки и отсутствует сетевое разграничение.

Новые векторы атак

Zscaler отмечает рост атак, маскирующихся под легальные приложения и сервисы. Распространенный пример — вредонос Android Void, заразивший около 1,6 млн медиаприставок на базе Android Open Source Project. Программа создает скрытый канал доступа (бэкдор), через который злоумышленники устанавливают стороннее ПО и управляют устройством.

Еще одна кампания связана с трояном Xnotice RAT (троян удаленного доступа, Remote Access Trojan), распространявшимся через поддельные сайты по найму в нефтегазовой отрасли. После загрузки приложение предоставляло злоумышленникам удаленный доступ, позволяя собирать данные, перехватывать SMS и выполнять команды на устройстве.

Растет использование искаженных ZIP-файлов и злоупотребление функцией Accessibility Service в Android. Эти приемы позволяют вредоносу скрываться от антивирусов и действовать от имени пользователя.

По оценке ThreatLabz, современные атаки совмещают социальную инженерию и технические уязвимости, делая заражение почти незаметным и трудным для блокировки стандартными средствами защиты.

География и отрасли риска

География кибератак становится все шире. На мобильные устройства чаще всего нападают в Индии, США и Канаде — на эти три страны приходится более половины вредоносного трафика. Индия показывает наибольший рост, что Zscaler связывает с высокой долей Android-устройств и активным использованием мобильных сервисов для работы и платежей.

В сегменте IoT и промышленных систем лидируют США (около половины всех зафиксированных атак), за ними следуют Гонконг, Германия, Индия и Китай. Такое распределение говорит о том, что ботнеты становятся глобальными и активно осваивают новые регионы.

Среди отраслей под наибольшим давлением остаются энергетика, производство и транспорт. За год число атак на энергетические компании выросло почти в пять раз, на медицину — более чем вдвое. Растет активность и в менее защищенных сегментах — образовании, культуре, розничной торговле.

По оценке ThreatLabz, киберпреступники выбирают отрасли, где сбой может иметь максимальные последствия: остановку производственных процессов, потерю данных или нарушение обслуживания критической инфраструктуры.

Уязвимости экосистемы и SIM-риски

Zscaler обращает внимание на слабые места в инфраструктуре мобильных и IoT-устройств, подключенных через сотовые сети. Многие компании ошибочно полагают, что передача данных по SIM-картам автоматически защищена оператором. Как отмечают аналитики ThreatLabz, активные SIM-модули в IoT-устройствах нередко продолжают обмениваться данными через зарубежные сети, особенно при использовании глобальных тарифов и eSIM. При отсутствии централизованного контроля это создает риск несанкционированной передачи данных и утраты видимости трафика.

Такая «теневая» активность создает дополнительные риски: устройства могут передавать данные за пределы корпоративной сети, подключаться к неизвестным ресурсам и нарушать требования по локализации информации. Отсутствие видимости трафика делает невозможным контроль политики безопасности и быстрое реагирование на инциденты.

Дополнительную угрозу создают устаревшие модемы и оборудование, где новые функции 5G работают поверх старых 4G-компонентов. Это снижает надежность защиты и оставляет открытыми уязвимости старых поколений связи.

По мнению аналитиков ThreatLabz, эффективная защита требует постоянного мониторинга SIM-активности, сегментации сетей и внедрения принципа Zero Trust — отказа от доверия по умолчанию даже внутри корпоративной инфраструктуры.

Рекомендации ThreatLabz

В отчете ThreatLabz подчеркивается необходимость перехода от реактивных мер к проактивной защите. Основой такой стратегии становится модель Zero Trust, при которой доступ к данным и сетям предоставляется только после проверки пользователя, устройства и контекста запроса.

Аналитики рекомендуют применять системы анализа трафика с элементами искусственного интеллекта для раннего обнаружения аномалий и неизвестных угроз, а также обеспечивать инспекцию зашифрованного трафика, чтобы исключить обход средств защиты через защищенные каналы. В инфраструктуре IoT и OT — внедрять сетевую сегментацию, ограничивая взаимодействие между устройствами и исключая прямой выход в интернет.

Отдельно отмечается важность регулярного обновления прошивок, контроля SIM-карт и мониторинга подключенных устройств. Для мобильных платформ — использование централизованных политик безопасности, проверенных магазинов приложений и обучение сотрудников распознаванию фишинга.

По оценке ThreatLabz, эти меры позволяют сократить поверхность атаки, ограничить перемещение злоумышленников внутри сети и повысить устойчивость корпоративных систем к новым видам вредоносных кампаний.

Полная версия доступна на сайте компании.