Source et contexte: Zscaler ThreatLabz publie le « 2025 Mobile, IoT & OT Threat Report » (données juin 2024–mai 2025), fondé sur la télémétrie de son cloud et l’analyse de transactions mobiles et IoT/OT à grande échelle.

📱 Mobile: Les transactions de malwares Android ont grimpé de 67%. Zscaler recense 239 applications Android malveillantes (42 M de téléchargements sur Google Play). Le backdoor Android Void/Vo1d a infecté 1,6 M de box TV Android (cible: versions AOSP anciennes). Les menaces phares incluent les bancaires (Anatsa) et un nouveau RAT Xnotice (ciblant des candidats dans l’oil & gas), avec abus massif des services d’accessibilité, overlays, mishing (SMS), et contournements via ZIP/APK malformés et payloads DEX chiffrés. L’adware domine désormais (69%), devant Joker (23%) et Harly (5%).

🌍 Ciblage géo et secteurs (mobile): Inde (26%) reste la première cible, suivie des États-Unis (15%) et Canada (14%). Forte croissance des blocages en Italie (>800%) et Israël (~4000%). Côté verticaux: Énergie/Oil & Gas (+387%) et Santé (+224%) explosent; Manufacturing et Retail/Wholesale restent très ciblés.

🛰️ IoT/OT: Les botnets Mirai, Mozi et Gafgyt représentent ~75% des charges malveillantes IoT; Mirai seul ~40%. Les routeurs concentrent 76,2% des attaques (souvent via injection de commandes et RCE sur équipements exposés). Études de cas et chasses montrent des beaconings périodiques et des UA anormaux. Côté géo, les États-Unis reçoivent 54,1% des attaques IoT; Hong Kong 15,1%, Allemagne 6,6%, Inde 4,5%, Chine 4,1%. Du trafic IoT jugé suspect est massivement dirigé vers Chine/Russie, surtout depuis des Data Collection Terminals (53,7%) et Smart TV (39,5%).

🏭 Secteurs IoT/OT: Manufacturing et Transportation concentrent chacun 20,2% des attaques IoT (40% au total). Croissances marquantes YoY: Arts & Entertainment (+1862%), Éducation (+861%), Finance & Assurance (+702%), Énergie/Utilities/O&G (+459%), Gouvernement (+370%), Transportation (+382%), Construction/Real Estate (+410%).

🏛️ Secteur public et tendances: Le Gouvernement enregistre +370% d’attaques IoT et +147% mobile, avec mention d’opérations étatiques (Volt Typhoon, Salt Typhoon). Le rapport inclut des bonnes pratiques (segmentation Zero Trust, inspection TLS, gestion des SIM cellulaires) et des prédictions 2026: exploitation accrue par IA, exposition des réseaux 5G sans Zero Trust, supply chain mobile, intégration et microsegmentation IoT/OT.

Malwares et familles observées

  • Android: Anatsa (banque), Xnotice (RAT), Joker, Harly, TrickMo, Ermac, SpyNote, SpyLoan, BadBazaar, Android Void/Vo1d, Gigabud, NGate.
  • IoT: Mirai, Mozi, Gafgyt, Tsunami, XorDDoS, Silex, Vpnfilter, Moose, etc.

TTPs observées

  • Mobile: Overlays bancaires, abus d’accessibilité, mishing/quishing/vishing, hijacking SMS/OTP, keylogging/screen capture, DEX payloads chiffrés (AES/XOR/DES), ZIP/APK malformés, anti-analyse/anti-émulation, dropper Play Store (catégorie Tools), C2 chiffré, double infra C2.
  • IoT/OT: Injection de commandes sur routeurs, RCE non authentifiée, wget/curl/chmod en /tmp pour déployer charges, UA modifiés pour marquer/exploiter, beaconing périodique vers C2, propagation botnet et DDoS.

IOCs et vulnérabilités (extraits du rapport)

  • CVEs: CVE-2016-10174, CVE-2018-10561, CVE-2023-33617, CVE-2016-20017, CVE-2017-17215 (routeurs/edge devices).
  • User-Agent anormaux: “linus-torvalds-loves-you”, “r00ts3c-owned-you”, “python-requests/2.32.3”, “curl/7.60.0”.
  • Motifs réseau: Beaconing 26–27 s, requêtes 78 octets, UA curl/7.60.0, destination en Chine (cas routeur Wavlink).
  • Destinations: trafic IoT jugé suspect vers Chine et Russie (surtout Data Collection Terminals et Smart TV).

Conclusion: Il s’agit d’une publication de recherche/rapport de menace visant à documenter l’évolution des attaques mobiles et IoT/OT, les familles actives, les secteurs et régions touchés, ainsi que les techniques d’évasion et de propagation observées.

🧠 TTPs et IOCs détectés

TTP

[‘Overlays bancaires’, “Abus d’accessibilité”, ‘Mishing/quishing/vishing’, ‘Hijacking SMS/OTP’, ‘Keylogging/screen capture’, ‘DEX payloads chiffrés (AES/XOR/DES)’, ‘ZIP/APK malformés’, ‘Anti-analyse/anti-émulation’, ‘Dropper Play Store (catégorie Tools)’, ‘C2 chiffré’, ‘Double infra C2’, ‘Injection de commandes sur routeurs’, ‘RCE non authentifiée’, ‘wget/curl/chmod en /tmp pour déployer charges’, ‘UA modifiés pour marquer/exploiter’, ‘Beaconing périodique vers C2’, ‘Propagation botnet et DDoS’]

IOC

{‘cve’: [‘CVE-2016-10174’, ‘CVE-2018-10561’, ‘CVE-2023-33617’, ‘CVE-2016-20017’, ‘CVE-2017-17215’], ‘user_agent’: [’linus-torvalds-loves-you’, ‘r00ts3c-owned-you’, ‘python-requests/2.32.3’, ‘curl/7.60.0’], ’network_patterns’: [‘Beaconing 26–27 s’, ‘Requêtes 78 octets’, ‘UA curl/7.60.0’, ‘Destination en Chine’], ‘destinations’: [‘Chine’, ‘Russie’]}

🔗 Source originale : https://www.zscaler.com/campaign/threatlabz-mobile-iot-ot-report