Detecção de Swizzling

O MAD monitora o runtime do iOS para identificar tentativas de method swizzling, uma funcionalidade do Objective-C que permite a substituição da implementação de métodos em tempo de execução. Embora legítima em alguns contextos de desenvolvimento, essa técnica pode ser explorada por atacantes para alterar comportamentos críticos da aplicação, inclusive mecanismos de segurança, sem modificar diretamente o binário.

Esse tipo de ataque é frequentemente observado em cenários de jailbreak ou instrumentação maliciosa, permitindo a interceptação de chamadas de API, o desvio de fluxos de validação e a manipulação silenciosa da lógica da aplicação, com potencial exposição de dados sensíveis.

Mecanismo Técnico: O MAD verifica a integridade do runtime de classes e métodos sensíveis, identificando alterações anômalas na forma como métodos são resolvidos e executados. Ao detectar que uma implementação legítima foi substituída ou redirecionada de maneira não autorizada, o MAD classifica o ambiente como comprometido e aciona as políticas de proteção configuradas e registra o evento no Command Center, garantindo que o comportamento original e legítimo do aplicativo não seja adulterado.