> pentest_mobile/preco.md
QUANTO CUSTA
PENTEST MOBILE?
TABELA 2026 BR.
Preço real, sem enrolação. Pentest mobile (Android + iOS + app híbrido) varia de R$ 8 mil a R$ 120 mil no Brasil em 2026, dependendo de plataforma, complexidade e regulação. Abaixo: tabela honesta, o que mexe no orçamento, e como não pagar caro por scan disfarçado.
> tabela_precos
┌──────────────────────────────────────────────────────────────────┐
│ TIPO │ FAIXA BR 2026 │
├──────────────────────────────────────────────────────────────────┤
│ App Android nativo simples (1 plataforma) │ R$ 8.000 - 18.000│
│ App Android + iOS (sem regulação) │ R$ 18.000 - 40.000│
│ App React Native / Flutter (1 plataforma) │ R$ 14.000 - 30.000│
│ App de saúde / educação (LGPD reforçada) │ R$ 25.000 - 55.000│
│ App de fintech / banking (BACEN, PIX) │ R$ 60.000 -120.000│
│ Super-app / multi-tenant / SDK proprietário │ R$ 50.000 -150.000│
└──────────────────────────────────────────────────────────────────┘
Valores incluem: análise estática + dinâmica, comunicação, plataforma, API consumida, lógica de negócio, relatório executivo + técnico, e retest dos críticos/altos em até 60 dias.
> o_que_mexe_no_preco.txt
Os 6 fatores que mais impactam o orçamento:
- Plataformas — só Android ≠ só iOS ≠ ambos. iOS exige Mac dedicado + perfil de teste. Ambos ≈ 1.5-1.8× o preço de um.
- Stack — nativo (Kotlin/Swift) é direto. React Native, Flutter, Ionic, Capacitor adicionam camada de bundle JS pra auditar.
- Fluxos críticos — número de jornadas: cadastro/KYC, login/biometria, transação, recuperação de senha, integração biométrica. Cada um soma horas.
- Compliance alvo — pentest sem compliance ≠ pentest mapeado em PCI-DSS/BACEN/SOC 2/MASVS L2. Mapeamento + entregável formal adiciona 30-50%.
- Backend — pentest mobile cobre a API consumida pelo app. Se a API tem endpoints não-mobile, escopo combinado fica mais barato que dois pentests separados.
- Resistência a reverse engineering — MASVS-R (resilience) exige tempo maior pra burlar obfuscation, anti-debug, anti-Frida. Comum em gaming e fintech.
> o_que_enxuga_o_preco.txt
- Limitar a 1 plataforma na primeira leva (Android normalmente é onde a base é maior);
- Definir 3-5 fluxos críticos prioritários em vez de "tudo";
- Fornecer documentação técnica mínima (Swagger/Postman da API);
- Disponibilizar ambiente de homologação populado (não precisar mockar dado);
- Janela única bem agendada (não estender por meses por falta de acesso).
> alerta_scan_disfarcado
Pentest mobile abaixo de R$ 8.000 quase sempre é um destes três:
- MobSF rodado — ferramenta open-source que faz análise estática automática. Entrega PDF de 80 páginas. Não testa lógica de negócio nem API.
- Pacote whitelabel revendido — empresa terceiriza pra estagiário ou para indiano sem conhecimento da plataforma local;
- "Pentest" vendido por upsell de antivírus mobile — relatório de assinatura de malware mascarado.
Em todos os casos: auditor SOC 2 / PCI-DSS / BACEN reprova, e o dinheiro foi pra ralo.
> como_pedir_orcamento_serio
Mande pro fornecedor: plataformas, stack, número de fluxos críticos, compliance alvo, build artifact disponível (TestFlight/Firebase). Fornecedor sério devolve uma proposta personalizada em 24-48h. Fornecedor commodity manda PDF genérico com preço único — fuja.
> FAQ
Preço mais baixo pra pentest mobile sério?
Pacote enxuto de app Android nativo simples (1 plataforma, 3-4 fluxos, sem regulação) começa em R$ 8.000. Abaixo é scan ou MobSF rodado por estagiário.
Por que app de fintech custa muito mais?
BACEN, PCI-DSS, FAPI, PIX, biometria, certificate pinning resiliente, MASVS L2 e 2 plataformas. 4-6 semanas com 2 pentesters sêniors. Faixa R$ 60-120k é o mercado real.
Posso pagar parcelado?
Sim. 50% início + 50% entrega ou parcelamento em até 3x sem juros via boleto. Para órgão público, faturamento por NE.
Pacote inclui retest após correção?
Sim. Retest de findings críticos/altos incluso em até 60 dias. Médios/baixos sob demanda.