AppCloud & Aura: cómo el bloatware invasivo espía a los usuarios de Samsung en WANA

Imagina esto: compras un nuevo smartphone Samsung, lo configuras y, en algún lugar profundo del sistema, se está ejecutando una app llamada AppCloud. Nunca la instalaste conscientemente, no puedes desinstalarla como una app normal y, aun así, está recopilando datos sobre ti.

Eso es exactamente lo que está ocurriendo actualmente millones de veces en Asia Occidental y Norte de África (WANA). Investigaciones de la organización de derechos digitales SMEX muestran que en muchos dispositivos Samsung de la región viene preinstalado un bloatware de origen israelí llamado AppCloud, que recopila datos de los usuarios sin informarles de forma transparente ni ofrecerles una forma sencilla de oponerse.

¿Qué es exactamente AppCloud?

AppCloud es un componente de sistema preinstalado en muchos dispositivos Samsung Galaxy de las series A y M en la región WANA. Según SMEX, llega a los dispositivos a través de una asociación ampliada entre Samsung MENA y la empresa de origen israelí ironSource (hoy parte de Unity).

Especialmente crítico:

AppCloud se ejecuta en lo más profundo del sistema y se comporta más como un servicio de sistema que como una app normal.

Para usuarios normales, eliminarlo por completo es prácticamente imposible sin acceso root, lo que implica riesgo de pérdida de garantía y posibles problemas de seguridad.

La app instala o controla otro servicio llamado Aura, que puede llevar apps adicionales y recomendaciones a tu dispositivo, incluida publicidad personalizada.

SMEX y otras fuentes critican que la política de privacidad es difícil de encontrar, que no se ofrece una opción clara de exclusión (opt‑out) y que se procesan datos sensibles como dirección IP, huellas del dispositivo (device fingerprints) y, en parte, información biométrica.

En pocas palabras: AppCloud no es “solo” un servicio de comodidad, sino un sistema de publicidad y rastreo profundamente integrado en el sistema, cuya procedencia y comportamiento resultan especialmente delicados en un entorno políticamente sensible.

¿Por qué la región WANA se ve especialmente afectada?

Varios factores hacen que la situación en Asia Occidental y Norte de África sea especialmente preocupante:

1. Alta cuota de mercado de Samsung

En la región, Samsung es, según los análisis de mercado, el principal fabricante de smartphones con alrededor de un 28 % de cuota.

Si AppCloud está activo por defecto en muchos dispositivos de las series A y M, afecta a una parte considerable de la población.

2. Dimensión jurídica y geopolítica

En países como Líbano, las empresas israelíes tienen prohibido legalmente hacer negocios. Aun así, AppCloud procede de una empresa fundada en Israel que ahora pertenece a un grupo estadounidense.

3. Recogida de datos poco transparente

SMEX acusa a AppCloud de funcionar sin consentimiento informado, recopilar datos sensibles y no ofrecer una opción clara de opt‑out. Esto podría suponer una posible vulneración de los derechos de protección de datos en varios estados de la región.

Por ello, en una carta abierta de queja dirigida a Samsung, SMEX exige transparencia en torno a AppCloud, opciones de opt‑out sencillas y el fin de las instalaciones forzadas en dispositivos de la región WANA.

IOC técnicos de AppCloud / AppCloud‑OOBE y Aura

Nota:
Los siguientes valores hash y datos de certificados se refieren a builds oficialmente firmados de AppCloud/Aura y a componentes relacionados (bloatware / ad‑tech).
Los motores antivirus convencionales no los clasifican como malware clásico, sino como software publicitario o de rastreo preinstalado o como software potencialmente no deseado.

Los incluimos aquí como indicadores de compromiso (IOC, por sus siglas en inglés) en el sentido de «esta componente está presente», no como «hashes de virus».

1. Hashes de archivo de AppCloud / AppCloud‑OOBE

1.1 AppCloud – paquete com.ironsource.appcloud.oobe (Sprint / versiones OOBE genéricas)

Los siguientes hashes pertenecen a builds AppCloud‑OOBE conocidos y oficialmente firmados, tal como se ofrecen, por ejemplo, a través de APKMirror para dispositivos Sprint. No son infecciones, sino valores de referencia que puedes usar para reconocer variantes de AppCloud en tus propios análisis.

Variante 1 – AppCloud 6.3.29.0 (Android 7.0+, build Sprint)
Fuente: APKMirror, paquete com.ironsource.appcloud.oobe.

SHA‑256: 53f4cc60049251f5ad966d55f0e1eea799452fba8995a8b7319614f593570cfd

Además, APKMirror muestra la huella (fingerprint) del certificado de la firma de Sprint (no la firma de ironSource):

Cert SHA‑256: 27f96dbab77b31f6953e4cd2c2defe15f5d7c78f073dd7162018ef476b097c34

Variante 2 – AppCloud 3.8.8.4.3 (build Sprint más antiguo)
También APKMirror, paquete com.ironsource.appcloud.oobe.

SHA‑256: dcbbac7e05f332a6288f65934fc5f4ee189e41f0db89bcedb86f52cd16a0703f

Aquí también se utiliza la misma huella de certificado de Sprint.

Contexto:
Estos hashes son buenas referencias si quieres buscar builds AppCloud‑OOBE clásicos en tus propias colecciones de APK o datos de registro. Sin embargo, no son específicos de Samsung, sino variantes típicas de operadores/fabricantes (carrier/OEM).

1.2 AppCloud – paquete com.aura.oobe.samsung.gl (variante Samsung)

Para la variante de Samsung con el nombre de paquete com.aura.oobe.samsung.gl, especialmente relevante en el contexto WANA, actualmente no existe una lista de hashes fiable mantenida públicamente.

Para los builds de sistema concretos de com.aura.oobe.samsung.gl utilizados en WANA no hay, a día de hoy, hashes SHA‑256 documentados públicamente de forma fiable. Para fines de IOC, por tanto, es mejor trabajar con:

Nombres de paquete (com.aura.oobe.samsung.gl, com.aura.oobe.samsung),

Huellas de certificados (véase el apartado 2),

e IOC de red (véase el apartado 3),

en lugar de confiar en hashes de archivo individuales.

1.3 Otros hashes del ecosistema ironSource/AppCloud

Existen otras variantes dentro del ecosistema AppCloud/Aura que vienen preinstaladas en dispositivos de otros fabricantes u operadores. No son exactamente los builds Samsung/WANA, pero pueden asignarse claramente al mismo ecosistema y resultan interesantes para tareas de clustering:

vrChannel 2.4.7.1 – paquete com.ironsource.appcloud.store.lg.vr (variante LG/VR)
Fuente: APKPure.

SHA‑1 del archivo: 4b77673f031749feaef5026dfd15025800aa650d

Firma (SHA‑1 del certificado): 01d845b26b688d8ef647205a5944e9407e52e06e

Airtel Store, Uganda 1.5.1 – paquete com.ironsource.appcloud.appstore.airtelug (variante de operador)
Fuente: APKPure.

SHA‑1 del archivo: e4be20c769d0a89e3e477a3bf9221eddc85ee33f

Firma (SHA‑1 del certificado): 7ff152f5eaca441d32542d3588bbe08b2a6bfc3b

Contexto:
Este tipo de hashes es útil si quieres analizar o categorizar todo el ecosistema AppCloud/Aura (por ejemplo, para telemetría, clustering o threat intelligence). Para una detección específica de Samsung/WANA, son más bien un “nice to have” que IOC centrales.

2. Huellas de certificados de ironSource/AppCloud

Las huellas digitales de certificados suelen ser más estables que los hashes de archivo individuales, mientras el proveedor no vuelva a firmar sus apps. Para builds de AppCloud firmados con un certificado de ironSource, APKMirror muestra, entre otros, los siguientes datos:

Organization (O): ironSource Ltd.

Cert SHA‑256: 04671dd36b2be531a6c1869422bb8944a76e646ac5824f864e530910c00b41c7

Esta huella aparece, por ejemplo, en versiones de AppCloud como 6.3.17.3 u 8.1.11.0, firmadas directamente por ironSource.

Uso práctico:
Si analizas APK de forma automatizada (escáneres internos, CI/CD, auditorías de firmware), puedes marcar cualquier app firmada con este certificado como “candidata ironSource/AppCloud”, independientemente del hash exacto. En combinación con nombres de paquete y dominios, esto facilita mucho la detección de una gran parte del ecosistema AppCloud.

3. IOC de red (para Suricata, pf, filtros DNS, etc.)

Desde el punto de vista de la infraestructura, los indicadores de red suelen ser más robustos que los hashes de archivo, porque los binarios cambian con cada actualización, mientras que los dominios backend pueden permanecer estables durante años.

Algunos dominios importantes en el entorno AppCloud/Aura son, por ejemplo:

assetscdn.isappcloud.com – CDN para recursos de AppCloud; en varios informes de sandbox y bases de datos de reputación está catalogado como “suspicious/malicious”, entre otras cosas porque desde ahí se han distribuido archivos EXE con baja tasa de detección antivirus.

persy.isappcloud.com – aparece, por ejemplo, en pruebas de ImmuniWeb sobre com.aura.oobe.samsung.gl como endpoint externo de comunicación.

Otros dominios que aparecen en hilos de operadoras y comunidades en el contexto de AppCloud, como:

ape-androids2.isappcloud.com

ape-eu.isappcloud.com

ib.isappcloud.com

user-profile.isappcloud.com

Paso a paso: cómo encontrar y deshacerte de AppCloud

Incluso sin acceso root, hay varias cosas que puedes hacer para detectar AppCloud y limitar su impacto. A continuación, un guía resumida basada en las recomendaciones de SMEX, desarrolladores independientes y how‑tos de la comunidad.

1. Detección a través de los ajustes del sistema

En muchos dispositivos puedes encontrar AppCloud directamente en los ajustes:

Abre Configuración → Aplicaciones.

Activa (si existe) la opción Mostrar aplicaciones del sistema.

Busca “AppCloud” o recorre la lista y fíjate en nombres como AppCloud, Aura o variantes con marca del operador.

Toca la entrada y, si hace falta, anota el nombre del paquete (por ejemplo, com.aura.oobe.samsung).

Si ves que la app tiene muchos permisos y no se puede desinstalar como una app normal, es un indicio fuerte de que se trata del bloatware en cuestión.

2. Desactivar y limitar el flujo de datos

Aunque muchas veces no puedas eliminar AppCloud por completo, sí puedes reducir el daño:

Abre Configuración → Aplicaciones → AppCloud.

Elige Forzar detención (Force stop) para detener la instancia en ejecución.

Pon la app en estado Desactivar si es posible, para que no siga funcionando en primer plano.

Revisa en Galaxy Store o en los ajustes de la app si puedes desactivar los datos en segundo plano y la instalación automática de apps. Muchos usuarios informan de que así se reduce de forma notable la instalación de nuevo bloatware.

Importante: después de grandes actualizaciones del sistema deberías comprobar si AppCloud se ha reactivado; algunos usuarios informan de que la app vuelve a aparecer tras las actualizaciones.

3. Eliminación completa con ADB (solo avanzados)

Si tienes experiencia técnica y aceptas cierto riesgo, puedes eliminar AppCloud para tu cuenta de usuario mediante Android Debug Bridge (ADB).

Procedimiento básico:

Instala ADB en tu ordenador (Android Platform Tools).

Activa las Opciones de desarrollador y la Depuración por USB en tu smartphone.

Conecta el dispositivo por USB y autoriza la conexión ADB.

En una ventana de terminal/PowerShell en tu PC, ejecuta el siguiente comando ADB, por ejemplo:

• adb shell pm uninstall -k --user 0 com.aura.oobe.samsung

Este comando elimina el paquete para tu cuenta de usuario.

Según el dispositivo y la región, puede que tengas que usar otro nombre de paquete (consulta los IOC anteriores).

Aviso importante:
Se trata de una intervención para usuarios avanzados. Comandos ADB erróneos pueden provocar un comportamiento inestable; y en algunos casos el fabricante puede alegar pérdida de garantía si se detectan cambios no deseados en el sistema. En caso de duda, haz antes una copia de seguridad completa e infórmate bien sobre el procedimiento.

Protección técnica con Anti Spy y Antivirus AI

Aunque no consigas deshacerte por completo de AppCloud, con las herramientas adecuadas puedes hacer tu dispositivo mucho más resistente, especialmente frente a spyware, stalkerware y componentes de adware agresivos.

Anti Spy: foco en vigilancia y stalkerware

Anti Spy es una solución antispyware especializada para Android. La app ha sido evaluada por el laboratorio independiente AV‑TEST y ha obtenido una tasa de detección muy elevada para malware en Android; además, Anti Spy es la primera y hasta ahora única app antispyware que ha recibido también la certificación DEKRA MASA L1.

En la práctica, esto significa para ti:

Anti Spy analiza las apps y procesos instalados no solo en base a firmas clásicas, sino también mediante un escáner dual impulsado por IA para detectar comportamientos sospechosos, como apps espía ocultas, stalkerware o rastreadores que funcionan en segundo plano con permisos sensibles.

La app está diseñada para lanzar alertas incluso con apps de sistema o del fabricante si se comportan como software de vigilancia, independientemente de si aparecen o no en el cajón de apps (app drawer).

Según un análisis reciente de Exodus Privacy, la última versión analizada publicada (6.7.3) de Anti Spy incluye 0 rastreadores, lo que confirma desde una fuente independiente que no incorpora bibliotecas ocultas de publicidad ni de analítica.

Precisamente en escenarios como AppCloud/Aura esto es decisivo: obtienes una segunda opinión sobre si en tu dispositivo hay apps instaladas que se comportan como software de vigilancia o espionaje, incluso cuando se distribuyen oficialmente como “componentes de sistema”.

Antivirus AI: protección frente a malware basada en IA contra adware y más

Antivirus AI complementa a Anti Spy de forma ideal: se centra en malware clásico, ransomware, troyanos y adware agresivo, pero con un motor de IA que aprende continuamente y ajusta sus reglas de detección (“AI Life Rules”) de manera dinámica.

Algunos puntos relevantes en el contexto de AppCloud:

Antivirus AI ha sido certificado varias veces por AV‑TEST y ha alcanzado tasas de detección superiores al 99 % en pruebas internas y externas, lo que reduce drásticamente el riesgo de amenazas no detectadas.

La IA también analiza apps que formalmente no están clasificadas como “malware”, pero que caen en una zona gris debido a una actividad de red o de rastreo llamativa, justo la categoría en la que se mueven muchos componentes de bloatware y ad‑tech.

Según informes recientes de Exodus Privacy, existen distintas versiones de Antivirus AI: una versión anterior (2.1.2) aún incluía un rastreador, mientras que la versión más reciente analizada 2.2.2 figura con 0 rastreadores. Esto muestra que Protectstar ha reducido activamente el tracking.

En combinación, Anti Spy y Antivirus AI forman un escudo de protección que va mucho más allá de un “antivirus” clásico: obtienes transparencia sobre qué apps hay en tu dispositivo, cómo se comportan y puedes limpiar de forma selectiva.

El caso de AppCloud es un ejemplo didáctico de lo que ocurre cuando la monetización se antepone a la privacidad. Los fabricantes y las empresas de ad‑tech cierran acuerdos en segundo plano y, al final, en tu smartphone se ejecuta software del que no sabes nada, pero con permisos muy amplios.

Protectstar elige conscientemente el enfoque contrario:

Las apps para Android Anti Spy y Antivirus AI se centran en la protección, no en la recopilación de datos.

Certificaciones de laboratorios independientes como AV‑TEST y DEKRA subrayan que los productos no solo son eficaces, sino también transparentes.

Análisis independientes especialmente los de Exodus Privacy muestran que Protectstar diseña sus apps de forma que no se integran SDK de tracking ocultos o que estos se eliminan de manera sistemática.

Precisamente en regiones donde ya existe un riesgo elevado de vigilancia por motivos políticos y jurídicos, esto constituye un contrapunto sólido frente al “bloatware invisible”.

Conclusión: tu smartphone, tus datos

La historia de AppCloud y Aura muestra lo rápido que tu smartphone puede convertirse en una herramienta para el perfilado, la publicidad y, potencialmente, también para la vigilancia, sin que hayas dado tu consentimiento de forma activa.

Fuentes y enlaces adicionales

1. SMEX – “Invasive Israeli-founded bloatware is harvesting data from Samsung users in WANA”
   URL: https://smex.org/invasive-israeli-software-is-harvesting-data-from-samsung-users-in-wana/
2. SMEX – “Open Letter to Samsung: End Forced Israeli-Founded Bloatware Installations in the WANA Region”
   URL: https://smex.org/open-letter-to-samsung-end-forced-israeli-app-installations-in-the-wana-region/
3. Al-Estiklal – “Samsung’s ‘Aura’: Israeli Spyware in Your Pocket”
   URL: https://www.alestiklal.net/en/article/samsung-s-aura-israeli-spyware-in-your-pocket
4. Athul Krishnan (Medium) – “Bloatware and Samsung, How to get rid of them for good”
   URL: https://athul-kris.medium.com/bloatware-and-samsung-how-to-get-rid-of-them-for-good-775a44c73752
5. TechFinitive – “What is App Cloud? How do I delete it?”
   URL: https://www.techfinitive.com/explainers/what-is-app-cloud-delete/
6. Protectstar – página de producto “Anti Spy Android: Anti Spyware Scanner”
   URL: https://www.protectstar.com/en/products/anti-spy
7. Protectstar – página de producto “Antivirus AI for Android”
   URL: https://www.protectstar.com/en/products/antivirus-ai
8. Protectstar Blog – “Anti Spy: World’s First Antispyware App with Dual Certification” (AV-TEST & DEKRA)
   URL: https://www.protectstar.com/en/blog/anti-spy-worlds-first-antispyware-app-dual-certification
9. Protectstar Blog – “Protectstar Antivirus AI Android Celebrates Its Third AV-TEST Triumph”
   URL: https://www.protectstar.com/en/blog/protectstar-antivirus-ai-android-celebrates-its-third-av-test-triumph
10. AV-TEST – evaluación del producto Protectstar Anti Spyware 6.0 (Android)
    URL (EN): https://www.av-test.org/en/antivirus/mobile-devices/android/january-2024/protectstar-anti-spyware-6.0-243113/
11. AV-TEST – evaluación del producto Protectstar Antivirus AI 2.1 (Android)
    URL (DE): https://www.av-test.org/de/antivirus/mobilgeraete/android/mai-2024/protectstar-antivirus-ai-2.1-243312/
12. Exodus Privacy – informe sobre com.protectstar.antispy.android (Anti Spy, versión 6.7.3)
    URL: https://reports.exodus-privacy.eu.org/en/reports/664531/
13. Exodus Privacy – informe sobre com.protectstar.antivirus (Antivirus AI, versión 2.2.2)
    URL: https://reports.exodus-privacy.eu.org/it/reports/623115/
14. Exodus Privacy – página del proyecto (información general y análisis de apps)
    URL: https://exodus-privacy.eu.org/en/