Pentest Mobile: iOS, Android e Apps Híbridos
Análise estática + dinâmica + comunicação + plataforma + API + lógica de negócio. OWASP MASVS/MASTG, MASVS-L2 para apps de dado sensível.
Por que agora
A dor real
Pentest mobile é a categoria com a maior taxa de scan disfarçado do mercado brasileiro. Muito fornecedor entrega MobSF rodado em estagiário e chama de pentest. App de fintech, saúde e governo precisa de validação manual real — certificate pinning, secrets em release, IDOR em endpoint mobile-only, root/jailbreak detection. Sem isso, auditor reprova e o cliente sai vazado.
Frameworks aplicáveis
/superficie-de-ataque
Pentest Mobile
Cada engajamento é desenhado para o seu ambiente. Os pontos abaixo são parte do nosso playbook padrão neste setor — adaptamos o escopo final ao seu stack e contrato.
Análise estática (APK/IPA)
Secrets em release, manifesto, claves embarcadas, ofuscação, jadx/class-dump.
Análise dinâmica (runtime)
Comportamento em execução, SQLite local, SharedPreferences/UserDefaults, cache, logs em logcat/Console.
Comunicação e certificate pinning
TLS, validação de hostname, downgrade attack, MitM com Burp, bypass com Frida/Objection.
Plataforma e armazenamento seguro
Keystore/Keychain, biometria, intent injection (Android), URL scheme hijacking (iOS), WebView.
API consumida pelo app
Todos os endpoints, IDOR/BOLA, autorização granular, validação server-side, rate limit, JWT.
Lógica de negócio
Cadastro/KYC, login/biometria, transação, recuperação de senha, fluxos críticos por feature.
Root/jailbreak e anti-tamper
Detecção, bypass com Magisk Hide / Liberty Lite / Shadow, integridade do binário.
Stack híbrida (RN/Flutter)
Análise do bundle JS, bridges nativos, dependências de terceiros, comunicação JS-nativa.
/metodologia
Pentest manual de verdade
Scanner automatizado encontra o que está documentado. Atacante real encontra o que não está. 90% do trabalho é manual — feito por especialistas com OSCP, CISSP, CRTO e GPEN.
01 · Reconhecimento
Mapa do alvo, OSINT, footprint, modelagem de ameaça específica do setor.
02 · Descoberta
Enumeração profunda, scan complementar, identificação manual de exposição.
03 · Exploração
Validação manual com PoC controlada, encadeamento de findings, escalação.
04 · Relatório
Executivo + técnico, replicação passo a passo, mapeado para regulação.
/por-que-confiar
Quem já confiou no nosso trabalho
Apps mobile bancário, healthtech e fintech regulados por BACEN e ANS. MASVS L2 entregue em ciclo PCI-DSS 4.0.
Avaliação técnica reconhecida em ambientes regulados de alta criticidade — o pentest que encontra o que ninguém tinha encontrado antes.
Douglas Lopes
Founder · CEO · intrus.io
/faq
FAQ — Pentest Mobile
Quanto custa pentest mobile no Brasil?
App Android nativo simples (1 plataforma, 3-4 fluxos críticos): R$ 8-18k. App Android + iOS sem regulação: R$ 18-40k. App fintech regulado por BACEN: R$ 60-120k. Faixa depende de plataforma, stack, fluxos críticos e compliance.
Vocês testam React Native e Flutter?
Sim. Stack híbrida tem peculiaridades de bundle JS e bridges nativos. Cobrimos análise do bundle, secrets em release, comunicação JS-nativa e dependências.
Precisa de build assinado ou serve APK debug?
Build da release (assinado) é fortemente recomendado — comportamento difere de debug. TestFlight, Firebase App Distribution, link interno ou MDM corporativo servem.
Certificate pinning é obrigatório?
Para app que processa dado sensível ou transação financeira, sim. Controle exigido por PCI-DSS, BACEN e SOC 2. Auditamos a implementação e tentamos bypass com Frida/Objection.
Pentest mobile cobre a API também?
Cobre o que o app consome. Para cobertura completa de API com endpoints não-mobile, o ideal é escopo combinado mobile + API.
/contato
Cotar pentest mobile
Marque uma reunião confidencial. Em até 48h enviamos a proposta com escopo, prazo e valor.