speakerNEU!iShredder™ Business für iOS und Android ist jetzt für Geschäftskunden verfügbar.Mehr erfahren

AppCloud & Aura: Wie invasive Bloatware Samsung-Nutzer in WANA ausspioniert

AppCloud & Aura: Wie invasive Bloatware Samsung-Nutzer in WANA ausspioniert
18. November 2025

Stell dir vor: Du kaufst dir ein neues Samsung-Smartphone, richtest es ein und irgendwo tief im System läuft eine App mit dem Namen AppCloud. Du hast sie nie bewusst installiert, kannst sie nicht normal deinstallieren, und trotzdem sammelt sie Daten über dich.
Genau das passiert aktuell millionenfach in Westasien und Nordafrika (WANA). Recherchen der Digital-Rights-Organisation SMEX zeigen, dass auf vielen Samsung-Geräten in der Region eine israelisch gegründete Bloatware namens AppCloud vorinstalliert ist, die Nutzerdaten sammelt, ohne dass Betroffene transparent informiert werden oder einfach widersprechen können.

Was ist AppCloud überhaupt?

AppCloud ist eine vorinstallierte Systemkomponente auf vielen Samsung-Galaxy-Geräten der A- und M-Serie in der WANA-Region. Laut SMEX kommt sie durch eine erweiterte Partnerschaft zwischen Samsung MENA und der israelisch gegründeten Firma ironSource (heute Teil von Unity) auf die Geräte.

Besonders kritisch:

AppCloud läuft tief im System, verhält sich eher wie ein Systemdienst als wie eine normale App.
Eine vollständige Entfernung ist für normale Nutzer praktisch unmöglich, ohne Root-Zugriff und damit das Risiko von Garantieverlust und Sicherheitsproblemen einzugehen.
Die App installiert bzw. steuert einen weiteren Dienst namens Aura, der zusätzliche Apps und Empfehlungen auf dein Gerät bringen kann – inklusive personalisierter Werbung.
SMEX und andere Quellen kritisieren, dass die Privacy Policy kaum auffindbar ist, keine klare Opt-out-Möglichkeit angeboten wird und dass sensible Daten wie IP-Adresse, Geräte-Fingerprints und zum Teil biometrische Informationen verarbeitet werden.

Kurz gesagt: AppCloud ist nicht einfach „nur“ ein Komfort-Dienst, sondern ein tief eingebautes Werbe- und Tracking-System, dessen Herkunft und Verhalten in einem politisch sensiblen Umfeld besonders heikel sind.

Warum ist die WANA-Region besonders betroffen?

Mehrere Faktoren machen die Lage in Westasien und Nordafrika so brisant:

Hoher Marktanteil von Samsung
In der Region ist Samsung laut Marktanalysen der führende Smartphone-Anbieter mit rund 28% Marktanteil.
Wenn AppCloud auf vielen A- und M-Geräten standardmäßig aktiv ist, betrifft das einen erheblichen Teil der Bevölkerung.

Rechtliche und geopolitische Dimension
In Ländern wie Libanon sind israelische Firmen rechtlich von Geschäften ausgeschlossen. Trotzdem stammt AppCloud von einem israelisch gegründeten Unternehmen, das inzwischen einem US-Konzern gehört.

Intransparente Datenerhebung
SMEX wirft AppCloud vor, ohne informierte Einwilligung zu arbeiten, sensible Daten zu sammeln und keine klare Opt-out-Möglichkeit anzubieten. Dies ist ein möglicher Verstoß gegen Datenschutzrechte in mehreren Staaten der Region.

In einer offenen Beschwerde an Samsung fordert SMEX daher Transparenz zu AppCloud, einfache Opt-out-Möglichkeiten und ein Ende der Zwangsinstallation auf Geräten in WANA.

Technische IOCs zu AppCloud / AppCloud-OOBE und Aura

Hinweis:
Die folgenden Hashwerte und Zertifikatsdaten beziehen sich auf offiziell signierte AppCloud-/Aura-Builds und verwandte Komponenten (Bloatware / Ad-Tech).
Sie werden von gängigen AV-Engines nicht als klassische Malware, sondern als vorinstallierte Werbe- bzw. Tracking-Software oder potentiell unerwünschte Software eingestuft.
Wir führen sie hier als Indicators of Compromise (IOC) im Sinne von „diese Komponente ist vorhanden“, nicht als „Virus-Hashes“.

1. Datei-Hashes zu AppCloud / AppCloud-OOBE

1.1 AppCloud – Paket com.ironsource.appcloud.oobe (Sprint / generische OOBE-Versionen)

Die folgenden Hashes gehören zu bekannten, offiziell signierten AppCloud-OOBE-Builds, wie sie z. B. über APKMirror für Sprint-Geräte bereitgestellt werden. Sie sind keine Infektionen, sondern Referenzwerte, mit denen du AppCloud-Varianten in eigenen Analysen wiedererkennen kannst.

Variante 1 – AppCloud 6.3.29.0 (Android 7.0+, Sprint-Build)
Quelle: APKMirror, Paket com.ironsource.appcloud.oobe.

  • SHA-256: 53f4cc60049251f5ad966d55f0e1eea799452fba8995a8b7319614f593570cfd

Zusätzlich zeigt APKMirror den Zertifikats-Fingerprint der Sprint-Signatur (nicht der ironSource-Signatur):

  • Cert SHA-256: 27f96dbab77b31f6953e4cd2c2defe15f5d7c78f073dd7162018ef476b097c34

Variante 2 – AppCloud 3.8.8.4.3 (älterer Sprint-Build)
Ebenfalls APKMirror, Paket com.ironsource.appcloud.oobe.

  • SHA-256: dcbbac7e05f332a6288f65934fc5f4ee189e41f0db89bcedb86f52cd16a0703f

Auch hier wird derselbe Sprint-Zertifikats-Fingerprint verwendet.

Einordnung:
Diese Hashes sind gute Referenzen, wenn du in eigenen APK-Sammlungen oder Logdaten nach klassischen AppCloud-OOBE-Builds suchen möchtest. Sie sind aber nicht Samsung-spezifisch, sondern typische Carrier-/OEM-Varianten.

1.2 AppCloud – Paket com.aura.oobe.samsung.gl (Samsung-Variante)

Für die Samsung-Variante mit Paketnamen com.aura.oobe.samsung.gl, die im WANA-Kontext besonders relevant ist, gibt es aktuell keine öffentlich gepflegte, verlässliche Hash-Liste.
Für die konkreten WANA-System-Builds von com.aura.oobe.samsung.gl existieren derzeit keine verlässlichen, öffentlich dokumentierten SHA-256-Hashes. Für IOC-Zwecke kannst du daher eher mit:

Paketnamen (com.aura.oobe.samsung.gl, com.aura.oobe.samsung),
Zertifikats-Fingerprints (siehe Abschnitt 2)
und Netzwerk-IOCs (siehe Abschnitt 3)

arbeiten, statt dich auf einzelne Datei-Hashes zu verlassen.

1.3 Weitere ironSource/AppCloud-Ökosystem-Hashes

Es gibt weitere Varianten im AppCloud/Aura-Ökosystem, die bei anderen Herstellern oder Carriern vorinstalliert sind. Diese sind nicht direkt die Samsung-WANA-Builds, lassen sich aber klar dem gleichen Ökosystem zuordnen und sind für Clustering-Zwecke interessant:

vrChannel 2.4.7.1 – Paket com.ironsource.appcloud.store.lg.vr (LG/VR-Variante)
Quelle: APKPure.

  • File SHA-1: 4b77673f031749feaef5026dfd15025800aa650d
    Signatur (Zertifikats-SHA-1): 01d845b26b688d8ef647205a5944e9407e52e06e

Airtel Store, Uganda 1.5.1 – Paket com.ironsource.appcloud.appstore.airtelug (Carrier-Variante)
Quelle: APKPure.

  • File SHA-1: e4be20c769d0a89e3e477a3bf9221eddc85ee33f
    Signatur (Zertifikats-SHA-1): 7ff152f5eaca441d32542d3588bbe08b2a6bfc3b

Einordnung:
Solche Hashes sind hilfreich, wenn du das gesamte AppCloud/Aura-Ökosystem analysieren oder kategorisieren willst (z. B. für Telemetrie, Clustering, Threat-Intelligence). Für eine konkrete Samsung-/WANA-Detection sind sie eher „Nice to have“ als harte Kern-IOCs.
 

2. Zertifikats-Fingerprints von ironSource/AppCloud

Zertifikats-Fingerprints sind oft stabiler als einzelne Datei-Hashes, solange der Anbieter nicht neu signiert. APKMirror zeigt für AppCloud-Builds, die mit einem ironSource-Zertifikat signiert sind, u. a. folgende Daten:

Organization (O): ironSource Ltd.
Cert SHA-256: 04671dd36b2be531a6c1869422bb8944a76e646ac5824f864e530910c00b41c7

Dieser Fingerprint taucht z. B. bei AppCloud-Versionen wie 6.3.17.3 oder 8.1.11.0 auf, die direkt von ironSource signiert wurden.

Praktischer Nutzen:
Wenn du APKs automatisiert analysierst (interne Scanner, CI/CD, Firmwares-Audits), kannst du jede App, die mit diesem Zertifikat signiert ist, als „ironSource/AppCloud-Kandidat“ markieren – unabhängig vom exakten Hash. In Kombination mit Paketnamen und Domains erleichtert das die Erkennung erheblicher Teile des AppCloud-Ökosystems.

3. Netzwerk-IOCs (für Suricata, pf, DNS-Filter, etc.)

Aus Infrastruktursicht sind Netzwerk-Indikatoren oft robuster als einzelne Datei-Hashes, weil sich Binaries mit jedem Update ändern, die Backend-Domains aber über Jahre stabil bleiben.

Wichtige Domains im AppCloud/Aura-Umfeld sind z. B.:

assetscdn.isappcloud.com – CDN für AppCloud-Assets; in mehreren Sandbox-Berichten und Reputationsdatenbanken als „suspicious/malicious“ geführt, u. a. weil von dort EXE-Dateien mit niedriger AV-Erkennungsrate ausgeliefert wurden.

persy.isappcloud.com – wird z. B. in ImmuniWeb-Tests zu com.aura.oobe.samsung.gl als externer Kommunikationsendpunkt genannt.

weitere Domains, die in Provider- und Community-Threads im Kontext von AppCloud auftauchen, z. B.:

  • ape-androids2.isappcloud.com
  • ape-eu.isappcloud.com
  • ib.isappcloud.com
  • user-profile.isappcloud.com

Schritt für Schritt: AppCloud finden und loswerden

Auch ohne Root-Zugriff kannst du einiges tun, um AppCloud zu erkennen und einzuschränken. Im Folgenden ein komprimierter Leitfaden, der sich an den Empfehlungen von SMEX, unabhängigen Entwicklern und Community-Howtos orientiert.

1. Erkennung über die Systemeinstellungen

Auf vielen Geräten kannst du AppCloud direkt über die Einstellungen finden:

  1. Öffne Einstellungen → Apps.
  2. Aktiviere (falls vorhanden) die Option System-Apps anzeigen.
  3. Suche nach „AppCloud“ oder scrolle durch die Liste und achte auf Namen wie AppCloud, Aura oder Provider-Branded Varianten.
  4. Tippe auf den Eintrag und notiere dir ggf. den Paketnamen (z. B. com.aura.oobe.samsung).

Wenn du siehst, dass die App viele Berechtigungen hat und sich nicht normal deinstallieren lässt, ist das ein starkes Indiz, dass es sich um die besagte Bloatware handelt.

2. Deaktivieren und Datenfluss einschränken

Auch wenn AppCloud oft nicht vollständig gelöscht werden kann, kannst du den Schaden begrenzen:

  1. Öffne Einstellungen → Apps → AppCloud.
  2. Wähle „Beenden erzwingen“ (Force Stop), um die laufende Instanz zu stoppen.
  3. Setze die App – wenn möglich – auf „Deaktivieren“, damit sie nicht mehr im Vordergrund arbeitet.
  4. Prüfe im Galaxy Store bzw. den App-Einstellungen, ob du Hintergrunddaten und automatische App-Installation deaktivieren kannst. Viele Nutzer berichten, dass das Nachinstallieren von Bloatware dadurch deutlich reduziert wird.

Wichtig: Nach großen System-Updates solltest du kontrollieren, ob AppCloud wieder aktiv ist – einige Nutzer berichten, dass die App nach Updates erneut erscheint.

3. Vollständige Entfernung mit ADB (nur für Fortgeschrittene!)

Wenn du technisch versiert bist und bereit bist, ein gewisses Risiko einzugehen, kannst du AppCloud mit Hilfe der Android Debug Bridge (ADB) für deinen Nutzeraccount entfernen.

Der grundsätzliche Ablauf:

ADB auf deinem Computer installieren (Android Platform Tools).
Auf deinem Smartphone Entwickleroptionen und USB-Debugging aktivieren.
Gerät per USB verbinden und ADB-Verbindung autorisieren.
In einem Terminal/Powershell-Fenster auf deinem PC den ADB-Shell-Befehl ausführen, z. B.:

  • adb shell pm uninstall -k --user 0 com.aura.oobe.samsung

Dieser Befehl entfernt das Paket für deinen User-Account.
Je nach Gerät/Region musst du ggf. einen anderen Paketnamen verwenden (siehe IOCs oben).

Wichtiger Hinweis:
Das ist ein Eingriff für erfahrene Nutzer. Fehlerhafte ADB-Kommandos können zu instabilem Verhalten führen, und in manchen Fällen kann der Hersteller sich auf Garantieverlust berufen, wenn unerwünschte Änderungen am System vorgenommen wurden. Im Zweifel vorher ein vollständiges Backup machen und sich genau in die Materie einlesen.

Technischer Schutz mit Anti Spy & Antivirus AI

Selbst wenn du AppCloud nicht vollständig loswirst, kannst du dein Gerät mit den richtigen Werkzeugen deutlich widerstandsfähiger machen – insbesondere gegen Spyware, Stalkerware und aggressive Adware-Komponenten.

Anti Spy: Fokus auf Überwachung und Stalkerware

Anti Spy ist eine spezialisierte Anti-Spyware-Lösung für Android. Die App wurde vom unabhängigen Testlabor AV-TEST geprüft und mit einer sehr hohen Erkennungsrate für Android-Malware bewertet; zudem ist Anti Spy die erste und bisher einzige Anti-Spyware-App, die zusätzlich eine DEKRA MASA L1-Zertifizierung erhalten hat.

Im Alltag bedeutet das für dich: Anti Spy analysiert installierte Apps und Prozesse nicht nur anhand klassischer Signaturen, sondern setzt auch auf einen KI-gestützten Dual-Scanner, um verdächtiges Verhalten zu erkennen – etwa versteckte Spy-Apps, Stalkerware oder Tracker, die im Hintergrund mit sensiblen Rechten arbeiten

Die App ist so konzipiert, dass sie auch bei System- oder Hersteller-Apps Alarm schlägt, wenn diese sich wie Überwachungssoftware verhalten – unabhängig davon, ob sie im App-Drawer sichtbar sind oder nicht.

Laut einer aktuellen Analyse von Exodus Privacy enthält die jüngste veröffentlicht analysierte Version (6.7.3) von Anti Spy 0 Tracker, was von unabhängiger Seite bestätigt, dass hier keine versteckten Werbe- oder Analytics-Bibliotheken mitlaufen.

Gerade in Szenarien wie AppCloud/Aura ist das entscheidend: Du bekommst eine zweite Meinung darüber, ob auf deinem Gerät Apps installiert sind, die sich wie Überwachungs- oder Spionage-Software verhalten – selbst wenn sie offiziell als „System-Komponente“ ausgeliefert wurden.

Antivirus AI: KI-basierter Malwareschutz gegen Adware & Co.

Antivirus AI ergänzt Anti Spy ideal: Hier liegt der Schwerpunkt auf klassischer Malware, Ransomware, Trojanern und aggressiver Adware – allerdings mit einer KI-Engine, die fortlaufend lernt und ihre Erkennungsregeln („AI Life Rules“) dynamisch anpasst.

Einige Punkte, die im Kontext AppCloud relevant sind:
Antivirus AI wurde mehrfach von AV-TEST zertifiziert und erreichte in internen wie externen Tests Erkennungsraten jenseits der 99%, was das Risiko unerkannt bleibender Bedrohungen drastisch reduziert.
Die KI analysiert auch Apps, die formal nicht als „Schadsoftware“ klassifiziert sind, aber durch auffällige Netzwerk- oder Tracking-Aktivität in eine Grauzone fallen – also genau jene Kategorie, in der viele Bloatware- und Adtech-Komponenten unterwegs sind.
Laut aktuellen Berichten von Exodus Privacy gibt es für Antivirus AI unterschiedliche Versionen: Eine frühere Version (2.1.2) enthielt noch einen Tracker, während die neuere analysierte Version 2.2.2 mit 0 Trackern aufgeführt ist. Das zeigt, dass Protectstar das Thema Tracking aktiv reduziert hat.

In Kombination ergeben Anti Spy und Antivirus AI einen Schutzschild, der deutlich über klassischen „Viren-Scanner“ hinausgeht: Du bekommst Transparenz darüber, welche Apps auf deinem Gerät sind, wie sie sich verhalten – und du kannst gezielt aufräumen.

Der Fall AppCloud ist ein Lehrstück dafür, was passiert, wenn Monetarisierung über Privatsphäre gestellt wird. Hersteller und Adtech-Firmen schließen Deals im Hintergrund, und am Ende läuft auf deinem Smartphone Software, von der du nichts weißt – mit weitreichenden Rechten.

Protectstar wählt bewusst den entgegengesetzten Ansatz: Die Android-Apps Anti Spy und Antivirus AI fokussieren sich auf Schutz statt Datensammelei.
Zertifizierungen durch unabhängige Labore wie AV-TEST und DEKRA unterstreichen, dass die Produkte nicht nur wirksam, sondern auch transparent sind. Unabhängige Analysen – insbesondere durch Exodus Privacy – zeigen, dass Protectstar seine Apps so konzipiert, dass keine versteckten Tracking-SDKs eingebaut sind oder diese konsequent wieder entfernt werden.

Gerade in Regionen, in denen politisch und rechtlich ohnehin schon eine erhöhte Überwachungsgefahr besteht, ist das ein starkes Gegenmodell zu „unsichtbarer Bloatware“.

Fazit: Dein Smartphone, deine Daten

Die Geschichte rund um AppCloud und Aura zeigt, wie schnell dein Smartphone zu einem Werkzeug für Profiling, Werbung und potenziell auch Überwachung werden kann – ohne dass du jemals aktiv zugestimmt hast.
 

Quellen & weiterführende Links

  1. SMEX – „Invasive Israeli-founded bloatware is harvesting data from Samsung users in WANA“
    URL: https://smex.org/invasive-israeli-software-is-harvesting-data-from-samsung-users-in-wana/
  2. SMEX – „Open Letter to Samsung: End Forced Israeli-Founded Bloatware Installations in the WANA Region“
    URL: https://smex.org/open-letter-to-samsung-end-forced-israeli-app-installations-in-the-wana-region/
  3. Al-Estiklal – „Samsung’s ‘Aura’: Israeli Spyware in Your Pocket“
    URL: https://www.alestiklal.net/en/article/samsung-s-aura-israeli-spyware-in-your-pocket
  4. Athul Krishnan (Medium) – „Bloatware and Samsung, How to get rid of them for good“
    URL: https://athul-kris.medium.com/bloatware-and-samsung-how-to-get-rid-of-them-for-good-775a44c73752
  5. TechFinitive – „What is App Cloud? How do I delete it?“
    URL: https://www.techfinitive.com/explainers/what-is-app-cloud-delete/
  6. Protectstar – Produktseite „Anti Spy Android: Anti Spyware Scanner“
    URL: https://www.protectstar.com/en/products/anti-spy
  7. Protectstar – Produktseite „Antivirus AI for Android“
    URL: https://www.protectstar.com/en/products/antivirus-ai
  8. Protectstar Blog – „Anti Spy: World’s First Antispyware App with Dual Certification“ (AV-TEST & DEKRA)
    URL: https://www.protectstar.com/en/blog/anti-spy-worlds-first-antispyware-app-dual-certification
  9. Protectstar Blog – „Protectstar Antivirus AI Android Celebrates Its Third AV-TEST Triumph“
    URL: https://www.protectstar.com/en/blog/protectstar-antivirus-ai-android-celebrates-its-third-av-test-triumph
  10. AV-TEST – Produktbewertung Protectstar Anti Spyware 6.0 (Android)
    URL (EN): https://www.av-test.org/en/antivirus/mobile-devices/android/january-2024/protectstar-anti-spyware-6.0-243113/
  11. AV-TEST – Produktbewertung Protectstar Antivirus AI 2.1 (Android)
    URL (DE): https://www.av-test.org/de/antivirus/mobilgeraete/android/mai-2024/protectstar-antivirus-ai-2.1-243312/
  12. Exodus Privacy – Report für „com.protectstar.antispy.android“ (Anti Spy, Version 6.7.3)
    URL: https://reports.exodus-privacy.eu.org/en/reports/664531/
  13. Exodus Privacy – Report für „com.protectstar.antivirus“ (Antivirus AI, Version 2.2.2)
    URL: https://reports.exodus-privacy.eu.org/it/reports/623115/
  14. Exodus Privacy – Projektseite (allgemeine Infos & App-Prüfung)
    URL: https://exodus-privacy.eu.org/en/
War dieser Artikel hilfreich? Ja Nein
1 von insgesamt 1 Personen fanden diesen Artikel hilfreich
Abbrechen Senden

Dazugehörige Artikel

AppCloud & Aura: Wie invasive Bloatware Samsung-Nutzer in WANA ausspioniert

AppCloud & Aura: Wie invasive Bloatware Samsung-Nutzer in WANA ausspioniert

AppCloud & Aura: Wie invasive Bloatware Samsung-Nutzer in WANA ausspioniert
Back zurück