Sou apaixonado por mobile. Quem me conhece sabe: trabalho especificamente com desenvolvimento mobile profissionalmente desde 2011. Acompanhei o amadurecimento das plataformas, mas as ameaças evoluíram em um ritmo ainda mais agressivo.

Em 2025, vimos o Brasil consolidar-se como o 7º maior alvo de ataques digitais no mundo e líder isolado na América Latina. Para nós, que atuamos na intersecção entre Engenharia de Software e Estratégia de Negócios, a segurança deixou de ser um "requisito não funcional" para se tornar o pilar central da sobrevivência de qualquer aplicativo.

Neste artigo, vamos analisar dados oficiais recentes sobre ataques em aplicativos, desmistificar a segurança do iOS e discutir por que manter a compatibilidade com versões antigas pode ser o maior risco que a sua empresa está correndo hoje.

*Observação: Este é um post um pouco longo. Leia com calma, pause se precisar, mas não deixe de ler até o final. Escrevi com muita atenção e dedicação para compartilhar este tema com a rede, pois estou me preparando para certificações internacionais voltadas a cibersegurança mobile e este é meu objeto de estudo atual.*

1. O Cenário de Ameaças em 2025 e o Domínio dos Bankers

Os dados dos relatórios da Kaspersky (*Securelist Q2 e Q3 2025*) mostram uma escalada na complexidade dos ataques. No terceiro trimestre de 2025, foram descobertos quase 198 mil pacotes de instalação maliciosos focados em dispositivos móveis.

A maior ameaça financeira atual atende pelo nome de Trojans Bancários (malwares focados em roubar credenciais financeiras e burlar autenticações), com mais de 52 mil novas amostras detectadas apenas no Q3.

Vale destacar uma nuance importante nos dados: enquanto a família Mamont domina o volume de amostras geradas (61% dos bankers), o malware Coper (focado em roubo de credenciais via *overlay*) assumiu a liderança no número de usuários efetivamente atacados.

Glossário Técnico: O que é a família Mamont?
Ao ler relatórios, você notará o termo "Mamont" constantemente. Mas o que isso significa?
Mamont é um cavalo de troia (*Trojan*) especializado em fraudes financeiras. Ele é classificado como uma "família" porque não se trata de um único arquivo malicioso, mas de um ecossistema de malwares que compartilham a mesma base de código-fonte e infraestrutura. Cibercriminosos criam dezenas de variantes (como *Mamont.da*, *Mamont.eb*) mudando pequenas assinaturas para tentar burlar os antivírus e as proteções do Google Play Protect.

2. O Mito da Segurança no iOS e o Fator Humano

Existe uma crença perigosa entre gestores e desenvolvedores de que "o iOS é seguro por padrão". Embora a arquitetura de *sandboxing* da Apple seja robusta, os cibercriminosos adaptaram suas táticas. Quando o sistema é difícil de quebrar, o ataque foca no elo mais fraco: o usuário.

Estudos recentes da Malwarebytes (Julho de 2025) revelam uma realidade irônica: a falsa sensação de segurança do ecossistema Apple torna seus usuários alvos mais fáceis para a engenharia social. Os dados mostram que usuários de iPhone:

  • São estatisticamente mais propensos a cair em golpes (*scams*) online do que usuários de Android.
  • São menos conscientes sobre a necessidade de adotar práticas de segurança móvel.
  • Sofrem alta exposição a ataques de *phishing* e fraudes via SMS (*smishing*), muitas vezes entregando credenciais ou instalando perfis de gerenciamento (MDM) maliciosos voluntariamente.

3. Compatibilidade vs. Segurança: O Risco das Versões Antigas

Como profissionais técnicos, frequentemente lidamos com a pressão do negócio para "manter o app compatível com o maior número de aparelhos possível". No entanto, suportar versões antigas (ex: iOS 15 ou Android 11) é uma negligência direta de segurança.

Glossário Técnico: O que é CVE?
CVE significa *Common Vulnerabilities and Exposures* (Vulnerabilidades e Exposições Comuns). É um sistema global que funciona como um "dicionário" de falhas de segurança conhecidas. Quando uma brecha é descoberta, ela recebe um código (ex: `CVE-2025-24201`).
Onde encontrar? Você pode consultar CVEs em bancos de dados oficiais como o NVD (nvd.nist.gov) ou diretamente nos boletins das empresas.

O Caso Android: "Zumbis Digitais" e Escalonamento de Privilégios

No ecossistema Android, o perigo mora na fragmentação. Uma das maiores ameaças identificadas em 2025 paradoxalmente não é "nova": trata-se da persistência do exploit CVE-2012-6636 e do uso de ferramentas como o Lotoor.

Embora sejam falhas antigas, elas continuam eficazes porque exploram vulnerabilidades de Escalonamento de Privilégios em versões do sistema operacional que não recebem mais correções. Atacantes usam o *Lotoor* para obter acesso "root" no dispositivo do usuário sem o consentimento dele, quebrando totalmente a *sandbox* do sistema.

Além disso, ao analisarmos o Boletim de Segurança do Android de Dezembro de 2025, vemos correções críticas para execução remota de código (RCE) no *Framework* e no *System*. Se o seu aplicativo permite instalação em um Android antigo (que parou de receber updates em 2022 ou 2023), o dispositivo do seu usuário não possui essas correções do boletim oficial. Seu app está rodando em um terreno minado onde falhas de kernel conhecidas estão abertas para exploração.

O Caso da Apple e o Perigo das WebViews

No iOS, a Apple é rigorosa com correções, mas a atualização depende do usuário. Quando uma vulnerabilidade crítica é descoberta no WebKit (o motor do Safari e de todas as WebViews), ela lança uma atualização. Se o usuário não atualiza, aquela "porta" continua aberta.

Estudo de Caso: Do "Confiável" ao RCE em um clique Para ilustrar como vulnerabilidades em versões antigas podem ser catastróficas, vale analisar um caso recente dissecado pela Djini.ai. O cenário parecia inofensivo: uma WebView confiável, uma interface JavaScript (JS Bridge) exposta e um bug nativo sutil. No entanto, esses três elementos se combinaram para criar uma Execução Remota de Código (RCE) completa com apenas um clique. Pesquisadores levaram quatro dias para explorar isso manualmente; ferramentas de IA nas mãos de atacantes podem reduzir esse tempo para horas.

A Recomendação

Implemente uma política agressiva de *Sunset* (descontinuação) baseada em dados. Mantenha suporte apenas às versões de SO que ainda recebem atualizações de segurança ativas (geralmente as duas últimas versões maiores).

  • Para Android: Acompanhe o Android Security Bulletin. Se a versão não recebe mais patches, é hora de subir o `minSdkVersion`.

4. Boas Práticas para Times: DevSecOps e Inteligência Artificial

Para blindar o processo de desenvolvimento, a segurança precisa ser "*Shift-Left*" (trazida para o início da esteira):

  1. Análise Contínua: Integre ferramentas de SAST (Análise Estática) e DAST (Análise Dinâmica) nos pipelines de CI/CD.
  2. Cuidado com a Cadeia de Suprimentos: O uso de SDKs de terceiros não auditados é um vetor crescente de ataques. O malware pode estar escondido na biblioteca de anúncios que o marketing pediu para integrar.
  3. Desenvolvimento Assistido por IA com Supervisão: Ferramentas de IA são excelentes, mas tendem a sugerir bibliotecas ou padrões de código que funcionavam bem em 2021, mas hoje possuem CVEs abertas. O código gerado por IA deve passar pelo mesmo rigor de Code Review que o código de um estagiário. A regra é clara: a IA propõe, o especialista humano audita.
  4. Teste na Prática: Equipes maduras devem realizar engenharia reversa nos próprios apps para entender o que um atacante vê. Ferramentas como o `frida` são essenciais para mapear vulnerabilidades dinâmicas antes que o software vá para produção.

A segurança mobile não é um estado definitivo, é um processo contínuo de adaptação. Atualize seus requisitos mínimos, treine sua equipe e não subestime a criatividade (e as ferramentas) do cibercrime.

Referências Oficiais e Base de Dados

Para compor este artigo, utilizei as seguintes fontes e relatórios oficiais de 2025:

  • Kaspersky Securelist: *IT threat evolution in Q2 2025. Mobile statistics*. Securelist Q2 Report
  • Kaspersky Securelist: *IT threat evolution in Q3 2025. Mobile statistics*. Securelist Q3 Report
  • Google Android: *Android Security Bulletin — December 2025*. Official Bulletin
  • Malwarebytes (2025): *iPhone vs Android: iPhone users more reckless, less protected online*. Malwarebytes Blog
  • Malwarebytes (2025): *iPhone users more prone to scams and less conscious about mobile security*. Malwarebytes Press Release
  • Apple Security Updates: Detalhes de correções e CVEs mitigadas (ex: iOS 18.3.2). Apple Support
  • Djini.ai: *From WebView to Remote Code Injection*. Djini.ai Case Study
  • Frida: * Dynamic instrumentation toolkit for developers, reverse-engineers, and security researchers.*. Frida.re
  • frida-ios-dump-swift: * script Dump ipa from device. Write in swift using Frida-swift*. frida-ios-dump-swift