Mobile Security & Threat Intelligence

MELO
SECURITY

Pentest Mobile, Inteligência de Ameaças e Mapeamento de Superfície de Ataque. Identificamos vulnerabilidades antes que atacantes as explorem.

Android · iOS Threat Intelligence Attack Surface OSINT MITRE ATT&CK
Solicitar Proposta Ver Serviços
> PENTEST.MOBILE // ACTIVE SCAN
VULNERABILITY DETECTED — CRITICAL
scroll
Sobre

LUCAS
MELO

Pesquisador de segurança com especialização em aplicações mobile — Android e iOS. Atuo na interseção entre Threat Intelligence, mapeamento de superfície de ataque e testes de intrusão, ajudando organizações a identificar e remediar riscos reais antes que sejam explorados.

Metodologia rigorosa, relatórios acionáveis e total confidencialidade em cada engajamento.

0
Apps Testados
0
Anos de XP
NDA
Confidencialidade
OWASP Mobile Top 10 MITRE ATT&CK Burp Suite Pro Frida MobSF jadx · apktool Objection OSINT
Pentest Mobile
Análise estática, dinâmica e de rede em aplicações Android e iOS. Cobertura completa do OWASP Mobile Top 10 com engenharia reversa, bypass de controles e análise de APIs.
Threat Intelligence
Coleta e análise de indicadores de comprometimento, monitoramento de dark web e Telegram, rastreamento de atores maliciosos e campanhas de phishing mobile.
Attack Surface Management
Mapeamento contínuo de ativos expostos: APIs, subdomínios, credenciais vazadas, aplicações clonadas e vetores de entrada não gerenciados.
Relatórios Executivos e Técnicos
Relatórios com remediações priorizadas por risco real ao negócio, PoCs detalhados, passos de reprodução e suporte na correção.
Serviços

CONSULTORIAS
ESPECIALIZADAS

Engajamentos sob NDA. Escopo definido em conjunto antes de qualquer início.
01
PENTEST MOBILE
Avaliação completa de segurança em aplicações Android e iOS. Análise estática, dinâmica e de rede. Identificação de vulnerabilidades críticas em armazenamento local, lógica de autenticação e comunicações.
ANDROIDiOSAPIsOWASP M10FRIDA
Escopo sob consulta · NDA incluído
02
THREAT INTELLIGENCE
Monitoramento e análise de ameaças direcionadas. Rastreamento de atores maliciosos, campanhas de phishing mobile, vazamentos de credenciais e dados corporativos expostos.
OSINTIOCsDARK WEBMITRE ATT&CK
Relatório pontual ou monitoramento contínuo
03
ATTACK SURFACE
Mapeamento e redução da superfície de ataque digital. Descoberta de ativos expostos, subdomínios, aplicações clonadas nas lojas e vetores de entrada não gerenciados.
EASMRECONBRAND PROTECTIONASM
Avaliação única ou programa contínuo
Threat Intelligence

INTELIGÊNCIA
DE AMEAÇAS

Monitoramento Contínuo
Rastreamento de menções à sua marca, aplicações e infraestrutura em fóruns especializados, grupos no Telegram e dark web — com alertas em tempo real.
Detecção de Vazamentos
Identificação de credenciais, dados de clientes e código-fonte expostos em repositórios públicos e mercados clandestinos.
Análise de Campanhas Mobile
Investigação de aplicações maliciosas que imitam sua marca nas lojas e kits de smishing direcionados a usuários da sua plataforma.
Relatórios de Inteligência
TTPs mapeados no framework MITRE ATT&CK, atribuição de atores e recomendações de mitigação priorizadas por impacto.
melo-intel-cli v2.4 // lucas@melosecurity:~
$ run scan --target mobile --depth deep
[*] Iniciando reconhecimento passivo... [+] App oficial detectado: Play Store ✓ [!] App clone identificado: 3 instâncias [!] Credenciais expostas: 142 registros
$ analyze --iocs --correlate --mitre
[*] Correlacionando IoCs com MITRE ATT&CK... [+] Ator identificado: APT-Mobile-23 [!] TTPs: T1437, T1521, T1406, T1636 [!] RISCO CRÍTICO — ação imediata recomendada
$ generate report --exec --tech --pdf
[+] Remediações priorizadas por impacto [*] Gerando relatório...
Attack Surface

SUPERFÍCIE
DE ATAQUE

CRÍTICO
Apps Mobile
Aplicações com vetores exploráveis por atacantes externos sem acesso privilegiado.
Armazenamento inseguroSSL pinning ausenteBypass root / jailbreak
CRÍTICO
APIs Mobile
Endpoints de backend consumidos por apps, frequentemente sem autenticação ou rate limit adequados.
Tokens expostosBOLA / BFLAEndpoints sem rate limit
ALTO
Lojas de Apps
Aplicações clonadas e modificadas distribuídas em lojas oficiais e alternativas.
Brand spoofingMalware repackageDistribuição em sideload
ALTO
Infraestrutura
Subdomínios, buckets expostos e serviços cloud relacionados às aplicações.
Shadow ITSubdomínios órfãosDados cloud expostos
ALTO
Credenciais
Chaves de API, tokens e secrets hardcoded em código-fonte ou repositórios públicos.
API keys em APKsTokens em repositóriosFirebase exposto
ALTO
Comunicações
Tráfego não criptografado, protocolos legados e canais de comunicação inseguros.
Vulnerável a MitMValidação de cert fracaEndpoints HTTP
MÉDIO
Vetor Humano
Phishing via SMS, engenharia social e aplicações falsas de suporte.
Campanhas de smishingFake support appsEngenharia social
MÉDIO
OSINT Corporativo
Dados públicos sobre a organização que facilitam reconhecimento e ataques direcionados.
Metadata em appsJob posting intelExposição em redes sociais
Processo

METODOLOGIA
DE TRABALHO

01
Briefing
Definição de escopo, ativos críticos e objetivos do negócio. NDA assinado antes de qualquer análise.
02
Reconhecimento
Mapeamento passivo e ativo. OSINT, análise de apps nas lojas e fingerprinting de infraestrutura.
03
Exploração
Execução controlada. Análise estática e dinâmica, interceptação de tráfego, exploração de APIs.
04
Análise
Correlação de achados, avaliação de impacto real e priorização por risco ao negócio.
05
Entrega
Relatório técnico e executivo. Apresentação com Q&A e suporte na remediação.
Relatório Técnico
PoCs detalhados, CVEs mapeados, passos de reprodução e remediação técnica específica para cada vulnerabilidade identificada.
Relatório Executivo
Visão de risco para lideranças: impacto no negócio, priorização e roadmap de correções em linguagem acessível.
Suporte Pós-Entrega
30 dias de suporte para dúvidas de remediação. Reteste gratuito para vulnerabilidades críticas após a correção.
Contato

VAMOS
FALAR

Tem uma aplicação que precisa ser avaliada ou quer entender como sua superfície de ataque está exposta? Retorno em até 24 horas úteis.

Email
contato@melosecurity.com.br
LinkedIn
linkedin.com/in/lucasmelo-sec
Telegram
@melosecurity
GitHub
github.com/lucasmelo-sec
SOLICITAR PROPOSTA