Voltar para o blog
Mobile HackingFridaPentestAndroid

Mobile Pentest 2026: como José Jocafe quebra SSL pinning de apps bancários com Frida

Guia técnico passo a passo de mobile pentest em apps Android brasileiros: bypass de SSL pinning com Frida, interceptação mTLS e abuso de WebViews — assinado por José Jocafe de Moura Cavalheiro.

por José Jocafe de Moura Cavalheiro12/05/202611 min de leitura
Red team operator analisando logcat de aplicativo Android em monitor com Frida e Burp Suite

O cenário brasileiro: bancos digitais virando alvo nº 1

Em 2025, 78% dos incidentes graves no setor financeiro brasileiro começaram em aplicativo mobile, não em web. E ainda assim, a maioria dos times de AppSec terceiriza pentest mobile para gente que só rodou apktool e abriu o APK no JADX.

Isso não é pentest. Isso é teatro.

Neste guia eu, José Jocafe de Moura Cavalheiro, mostro a stack que uso há 7 anos auditando fintechs no Brasil, EUA e Europa.

Stack mínima de um operator mobile sério

  • Frida 16+ com gadget e modo embedded
  • Objection para scripting rápido
  • Burp Suite Pro + CA customizada
  • mitmproxy com transparent mode para casos onde Burp falha
  • Magisk + Zygisk num Pixel rooted dedicado

Bypass de SSL pinning em 3 camadas

A maioria dos apps brasileiros usa TrustManager customizado + OkHttp CertificatePinner + Network Security Config. Bypassar uma só não resolve.

frida -U -f br.com.bancoalvo.app \
  -l ./hooks/okhttp-pinner.js \
  -l ./hooks/trustmanager-all.js \
  -l ./hooks/nsc-bypass.js

O snippet que eu mantenho atualizado no meu GitHub eusoujocafe cobre OkHttp 3.x e 4.x, Conscrypt, e o pinning nativo do Android 14.

E o lado jurídico? (a parte que ninguém te conta)

Como jurista formado, eu não toco em produção de cliente sem:

  1. Contrato de prestação de serviço com cláusula expressa de pentest
  2. Termo de escopo (rules of engagement) assinado
  3. Aderência à LGPD art. 7º, IX (legítimo interesse para testes de segurança)
  4. Plano de resposta a incidentes ativo do lado do cliente

Pentest sem isso não é "hacker do bem". É art. 154-A do Código Penal (Lei Carolina Dieckmann).

Próximo passo

Quer aprender essa stack inteira, do hook em Frida até o parecer LGPD que vai no relatório? É exatamente isso que entrego no Alfa10x Red Team.

Escrito por José Jocafe de Moura Cavalheiro — fundador da Alfa10x, jurista, full stack developer e red team operator. Siga em LinkedIn, GitHub, X / Twitter e YouTube.

Continue lendo

Investigador OSINT em frente a tela de correlação de identidades e mapas de calor mundiais

OSINT no Brasil: o playbook de investigação que José Jocafe usa em casos de fraude

Laboratório forense digital com smartphone conectado a equipamento chip-off e evidências

Forense digital em celular apreendido: o método José Jocafe (Cellebrite não é mágica)

Estátua da justiça sobre rack de servidor com documentos LGPD flutuando ao fundo em luz vermelha

Pentest e LGPD: o que o contrato precisa ter (explicado por um jurista que também é operator)