Zimperiums Global Mobile Threat Report 2025: Mobilgeräte als bevorzugter Angriffsvektor Cyber-Krimineller

Zimperium-Forscher der „zLabs“ analysierten Bedrohungsdaten, um sich entwickelnde und komplexe Angriffe sowie Schwachstellen aufzudecken

[datensicherheit.de, 04.05.2025] Zimperium hat den „Global Mobile Threat Report 2025“ veröffentlicht, welcher die Auswertung wichtiger Trends bei mobilen Bedrohungen aufzeigt. Forscher von „zLabs“ analysierten Bedrohungsdaten, um sich entwickelnde und komplexe Angriffe sowie Schwachstellen aufzudecken, welche sowohl auf mobilen Geräten als auch in mobilen Apps gefunden wurden. „Der Security-Report ermittelt, dass Mobilgeräte der bevorzugte Angriffsvektor für Cyber-Kriminelle sind.“

Wichtige Zimperium-Erkenntnisse zur mobilen Sicherheitslage im Überblick:

• Mobilgeräte bevorzugter Angriffsvektor bei unbefugten Zugriffen im Unternehmen
• Starke Zunahme sogenannter Smishing-Bedrohungen, welche mehr als zwei Drittel der mobilen Phishing-Angriffe ausmachten
• „Voice Phishing“ (Vishing) verzeichne eine Zunahme um 28 Prozent, „SMS-Phishing“ (Smishing) um 22 Prozent
• Ein Viertel der Mobilgeräte könne nicht auf die neuesten Betriebssystemversionen aktualisiert werden
• Über 60 Prozent der „iOS“- und bis zu 34 Prozent der „Android“-Apps hätten keinen grundlegenden Code-Schutz
• Fast 60 Prozent der „iOS“-Anwendungen und 43 Prozent der „Android“-Apps seien anfällig für Datenlecks mit personenbezogenen Daten

Zimperium-Warnung: „Mishing“ eine der größten Bedrohungen für Unternehmen

Die Mehrzahl der Unternehmen und Sicherheitsteams seien sich der Gefahrenlage durch klassisches Phishing bewusst. Bedrohungsakteure gingen deshalb dazu über, mit „Mishing“-Bedrohungen (Mobile Targeted Phishing) unterschiedliche Schwachstellen mobiler Endgeräte und Benutzerfehler gezielt auszunutzen.

Zimperiums „zLabs“-Forscher stellten eine kontinuierliche Zunahme von „Mishing“-Angriffen fest. Neben PDF-Phishing hätten insbesondere „Vishing“- und „Smishing“-Angriffe auf mobile Geräte dramatisch zugenommen – sie würden mittlerweile zwei Drittel aller „Mishing“-Attacken betreffen.

Angriffe per „Voice Phishing“ (Vishing) hätten um 28 Prozent zugenommen, und die Anzahl an „SMS-Phishing“-Attacken (Smishing) sei um 22 Prozent gestiegen. Hierbei wirke sich auch der wachsende Einsatz von KI-Werkzeugen aus.

Cyber-Kriminelle setzen laut Zimperium-Erkenntnissen auf „Mobile-First“-Angriffsstrategie

Cyber-Kriminelle setzten weiterhin stark auf mobile Malware-Angriffe und „Advanced Persistent Threats“ (APT), um anhaltende Cyber-Bedrohungen auszunutzen. Die Zimperium-Sicherheitsforscher hätten einen Anstieg der Angriffe mit „Trojanern“ um 50 Prozent im Vergleich zum Vorjahr (2024) beobachtet. Dabei seien auch ganz neue Banking-Trojaner-Familien wie „Vultur“, „DroidBot“, „Errorfather“ und „BlankBot“ erkannt worden.

Als Top-Kategorie bei mobilen Sicherheitsgefahren sei soegannte Spyware einzustufen: „Über die Spionageprogramme lassen sich sensible Daten wie Anmeldeinformationen oder sogar Einmalpasswörter unbemerkt abgreifen.“ Außerdem kämen durch „App-Sideloading“ immer mehr Programme zum Einsatz, welche nicht aus den offiziellen App-Stores stammten. „Auf jedem vierten geschäftlichen Smartphone (23,5%) waren 2024 riskante Anwendungen aus unbekannten Quellen installiert.“ Mobile Benutzer gingen damit ein deutlich höheres Risiko ein, dass Schadprogramme auf ihren Geräten installiert werden.

„Unternehmen auf der ganzen Welt nutzen mobile Endgeräte, um die Produktivität und Kundenbindung zu verbessern – Cyber-Kriminelle verfolgen deshalb eine Mobile-First-Angriffsstrategie“, berichtet Shridhar Mittal, Zimperiums „CEO“. Er führt hierzu weiter aus: „In modernen, hybriden Arbeitsumgebungen, bei denen 70 Prozent der Unternehmen private Mobilgeräte erlauben und aktiv Apps für Mitarbeiter und Kunden entwickeln, lässt sich die mobile Angriffsfläche nur über eine umfassende Mobile-Security-Strategie verringern, die sowohl Mobilgeräte als auch mobile Anwendungen abdeckt.“

Zimperium-Zahlen zeigen auf, dass sich 25,3% der Mobilgeräte gar nicht mehr aktualisieren lassen

Ohne eine Sicherheitsüberprüfung der eingesetzten Apps könnten von Benutzern heruntergeladene Mobilprogramme schwerwiegende Folgen haben. Die Risiken durch „App-Sideloading“ reichten von weiterbverbreiteter Malware und installierten „Trojanern“ bis zum Verlust sensibler Daten – ein erhebliches Risiko für Unternehmen.

Bei intern entwickelten Mobil-Apps auf Kunden-, Lieferanten- oder Mitarbeiter-Geräten fehlten mitunter grundlegende Schutzmechanismen, so dass die Anfälligkeit für „Reverse Engineering“, Manipulation und Datenraub steige. Selbst gut abgesicherte Apps könnten zu weitergehenden Risiken in BYOD-Szenarien führen, weil über 50 Prozent der mobilen Endgeräte mit veralteten oder kompromittierten Betriebssystemen betrieben würden. Die Zimperium-Zahlen deckten auf, dass sich 25,3 Prozent der Mobilgeräte aufgrund des Betriebsalters gar nicht mehr aktualisieren ließen.

„Böswillige Akteure, die es auf mobile Endgeräte und Apps abgesehen haben, entwickeln ihre Taktiken ständig weiter, um einer Erkennung zu entgehen und unbemerkt im Verborgenen agieren zu können“, kommentiert Kern Smith, „Vice President, Global Solutions Engineering“ bei Zimperium. Für die sichere Navigation in einer sich permanent verändernden mobilen Bedrohungslandschaft benötigten Unternehmen indes Echtzeit-Transparenz und umfassenden Schutz gegen Bedrohungen. Smith unterstreicht: „Von entscheidender Bedeutung ist dabei ein ganzheitlicher Ansatz, der das gesamte ,mobile Ökosystem’ berücksichtigt und böswilligen Akteuren stets einen Schritt voraus ist, um sensible Daten und Abläufe im Unternehmen schützen zu können.“

Weitere Informationen zum Thema:

ZIMPERIUM, 2025
GLOBAL MOBILE THREAT REPORT

datensicherheit.de, 20.02.2025
Zimperium-Studie: Deutliche Zunahme von Mobile-Phishing-Angriffen / Neuer „zLabs Mishing Report“ ermittelt Anstieg von Betrug per SMS, QR-Code oder E-Mail

datensicherheit.de, 01.03.2024
Mobile Geräte: Cyber-Angriffe haben 2023 deutlich zugenommen / Kaspersky-Experten haben 2023 weltweit einen deutlichen Anstieg der Angriffe auf rund 33,8 Millionen verzeichnet

datensicherheit.de, 28.03.2023
BYOD-Risiken so hoch wie nie: Mobile Phishing nimmt zu / Jedes dritte private Gerät und jedes dritte Gerät in Unternehmen mindestens einem Angriff per Mobile Phishing pro Quartal ausgesetzt