AppCloud & Aura: comment un bloatware invasif espionne les utilisateurs Samsung dans la région WANA

Imagine : tu achètes un nouveau smartphone Samsung, tu le configures et, quelque part au fond du système, tourne une appli appelée AppCloud. Tu ne l’as jamais installée consciemment, tu ne peux pas la désinstaller comme une appli normale, et pourtant elle collecte des données sur toi.

C’est exactement ce qui se passe actuellement des millions de fois en Asie occidentale et en Afrique du Nord (WANA). Des recherches de l’organisation de défense des droits numériques SMEX montrent que sur de nombreux appareils Samsung de la région, un bloatware fondé en Israël, appelé AppCloud, est préinstallé et collecte des données d’utilisateurs sans les informer de manière transparente et sans leur offrir une façon simple de s’y opposer.

Qu’est-ce qu’AppCloud, au juste ?

AppCloud est un composant système préinstallé sur de nombreux appareils Samsung Galaxy des séries A et M dans la région WANA. Selon SMEX, il arrive sur ces appareils via un partenariat étendu entre Samsung MENA et l’entreprise fondée en Israël ironSource (aujourd’hui partie de Unity).

Points particulièrement critiques :

AppCloud fonctionne en profondeur dans le système et se comporte plus comme un service système que comme une appli classique.

Pour un·e utilisateur·rice lambda, le supprimer complètement est pratiquement impossible sans accès root, ce qui implique un risque de perte de garantie et de problèmes de sécurité.

L’appli installe ou contrôle un autre service appelé Aura, qui peut apporter d’autres applis et recommandations sur ton appareil – y compris de la publicité personnalisée.

SMEX et d’autres sources critiquent le fait que la politique de confidentialité est difficile à trouver, qu’aucune vraie option d’opt‑out n’est proposée, et que des données sensibles comme l’adresse IP, les empreintes du dispositif (device fingerprints) et, dans certains cas, des informations biométriques sont traitées.

En résumé : AppCloud n’est pas “juste” un service de confort, mais un système de publicité et de tracking profondément intégré, dont l’origine et le comportement sont particulièrement sensibles dans un contexte politique tendu.

Pourquoi la région WANA est-elle particulièrement touchée ?

Plusieurs facteurs rendent la situation en Asie occidentale et en Afrique du Nord particulièrement préoccupante :

1. Forte part de marché de Samsung

Dans la région, Samsung est, d’après les analyses de marché, le principal fournisseur de smartphones avec environ 28 % de part de marché.

Si AppCloud est activé par défaut sur de nombreux appareils des séries A et M, cela concerne une part importante de la population.

2. Dimension juridique et géopolitique

Dans des pays comme le Liban, les entreprises israéliennes sont légalement exclues des relations commerciales. Pourtant, AppCloud provient d’une société fondée en Israël, qui appartient aujourd’hui à un groupe américain.

3. Collecte de données opaque

SMEX reproche à AppCloud de fonctionner sans consentement éclairé, de collecter des données sensibles et de ne pas proposer de véritable option d’opt‑out. Cela pourrait constituer une violation des droits à la protection des données dans plusieurs États de la région.

Dans une plainte ouverte adressée à Samsung, SMEX demande donc de la transparence sur AppCloud, des possibilités simples d’opt‑out et la fin des installations forcées sur les appareils dans la région WANA.

IOC techniques d’AppCloud / AppCloud‑OOBE et Aura

Remarque :
Les valeurs de hash et les données de certificat ci‑dessous se rapportent à des builds officiellement signés d’AppCloud/Aura et de composants associés (bloatware / ad‑tech).

Les moteurs antivirus courants ne les classent généralement pas comme des malwares “classiques”, mais comme des logiciels publicitaires ou de tracking préinstallés, ou encore comme des logiciels potentiellement indésirables (PUP).

Nous les présentons ici comme des Indicators of Compromise (IOC) au sens de « cette composante est présente », et non comme des « hashes de virus ».

1. Hashs de fichiers pour AppCloud / AppCloud‑OOBE

1.1 AppCloud – package com.ironsource.appcloud.oobe (versions Sprint / OOBE génériques)

Les hashs suivants appartiennent à des builds AppCloud‑OOBE connus et officiellement signés, tels que ceux proposés par exemple sur APKMirror pour des appareils Sprint. Ce ne sont pas des infections, mais des valeurs de référence que tu peux utiliser pour reconnaître des variantes d’AppCloud dans tes propres analyses.

Variante 1 – AppCloud 6.3.29.0 (Android 7.0+, build Sprint)
Source : APKMirror, package com.ironsource.appcloud.oobe.

SHA‑256 : 53f4cc60049251f5ad966d55f0e1eea799452fba8995a8b7319614f593570cfd

APKMirror affiche également l’empreinte de certificat de la signature Sprint (et non celle d’ironSource) :

Cert SHA‑256 : 27f96dbab77b31f6953e4cd2c2defe15f5d7c78f073dd7162018ef476b097c34

Variante 2 – AppCloud 3.8.8.4.3 (ancien build Sprint)
Également APKMirror, package com.ironsource.appcloud.oobe.

SHA‑256 : dcbbac7e05f332a6288f65934fc5f4ee189e41f0db89bcedb86f52cd16a0703f

Ici aussi, la même empreinte de certificat Sprint est utilisée.

Utilisation :
Ces hashs sont de bonnes références si tu veux rechercher, dans tes collections d’APK ou tes journaux, des builds AppCloud‑OOBE “classiques”. Ils ne sont toutefois pas spécifiques à Samsung, mais typiques de variantes opérateur/OEM.

1.2 AppCloud – package com.aura.oobe.samsung.gl (variante Samsung)

Pour la variante Samsung portant le nom de package com.aura.oobe.samsung.gl, particulièrement pertinente dans le contexte WANA, il n’existe actuellement aucune liste publique et fiable de hashs.

Pour les builds système concrets de com.aura.oobe.samsung.gl utilisés dans WANA, il n’y a, à ce jour, aucun hash SHA‑256 documenté de façon fiable et publique. Pour les IOC, il est donc préférable de travailler plutôt avec :

des noms de package (com.aura.oobe.samsung.gl, com.aura.oobe.samsung),

des empreintes de certificats (voir section 2),

et des IOC réseau (voir section 3),

plutôt que de se fier à des hashs de fichier isolés.

1.3 Autres hashs de l’écosystème ironSource/AppCloud

Il existe d’autres variantes dans l’écosystème AppCloud/Aura qui sont préinstallées sur des appareils d’autres fabricants ou opérateurs. Il ne s’agit pas directement des builds Samsung/WANA, mais elles peuvent clairement être rattachées au même écosystème et sont intéressantes pour le clustering :

vrChannel 2.4.7.1 – package com.ironsource.appcloud.store.lg.vr (variante LG/VR)
Source : APKPure.

File SHA‑1 : 4b77673f031749feaef5026dfd15025800aa650d

Signature (Cert SHA‑1) : 01d845b26b688d8ef647205a5944e9407e52e06e

Airtel Store, Uganda 1.5.1 – package com.ironsource.appcloud.appstore.airtelug (variante opérateur)
Source : APKPure.

File SHA‑1 : e4be20c769d0a89e3e477a3bf9221eddc85ee33f

Signature (Cert SHA‑1) : 7ff152f5eaca441d32542d3588bbe08b2a6bfc3b

Utilisation :
Ces hashs sont utiles si tu veux analyser ou catégoriser l’ensemble de l’écosystème AppCloud/Aura (par exemple pour de la télémétrie, du clustering ou de la threat intelligence). Pour une détection ciblée des builds Samsung/WANA, ce sont plutôt des “nice to have” que des IOC centraux.

2. Empreintes de certificats ironSource/AppCloud

Les empreintes de certificats sont souvent plus stables que les hashs de fichiers individuels, tant que le fournisseur ne change pas de certificat de signature. Pour les builds d’AppCloud signés avec un certificat ironSource, APKMirror affiche notamment les données suivantes :

Organization (O) : ironSource Ltd.

Cert SHA‑256 : 04671dd36b2be531a6c1869422bb8944a76e646ac5824f864e530910c00b41c7

Cette empreinte apparaît par exemple dans des versions d’AppCloud comme 6.3.17.3 ou 8.1.11.0, signées directement par ironSource.

Intérêt pratique :
Si tu analyses des APK de manière automatisée (scanners internes, CI/CD, audits de firmware), tu peux marquer toute appli signée avec ce certificat comme “candidate ironSource/AppCloud”, indépendamment du hash précis. Combiné aux noms de package et aux domaines, cela facilite grandement la détection d’une grande partie de l’écosystème AppCloud.

3. IOC réseau (pour Suricata, pf, filtres DNS, etc.)

Du point de vue de l’infrastructure, les indicateurs réseau sont souvent plus robustes que les hashs de fichiers, car les binaires changent à chaque mise à jour, tandis que les domaines backend restent parfois stables pendant des années.

Des domaines importants dans l’environnement AppCloud/Aura sont par exemple :

assetscdn.isappcloud.com – CDN pour les ressources AppCloud ; dans plusieurs rapports de sandbox et bases de données de réputation, il est classé comme “suspicious/malicious”, notamment parce qu’on y a observé la distribution de fichiers EXE avec un faible taux de détection antivirus.

persy.isappcloud.com – mentionné par exemple dans des tests ImmuniWeb de com.aura.oobe.samsung.gl comme point de terminaison externe de communication.

d’autres domaines apparaissant dans des fils de discussion d’opérateurs ou de communautés à propos d’AppCloud, par exemple :

• ape-androids2.isappcloud.com
• ape-eu.isappcloud.com
• ib.isappcloud.com
• user-profile.isappcloud.com

Étape par étape : trouver et supprimer AppCloud

Même sans accès root, tu peux faire pas mal de choses pour identifier AppCloud et limiter son impact. Voici un guide condensé, basé sur les recommandations de SMEX, de développeurs indépendants et de how‑to de la communauté.

1. Détection via les paramètres système

Sur de nombreux appareils, tu peux trouver AppCloud directement dans les paramètres :

Ouvre Paramètres → Applications.

Active, si disponible, l’option Afficher les applis système.

Cherche “AppCloud” ou fais défiler la liste en repérant des noms comme AppCloud, Aura ou des variantes marquées par l’opérateur.

Appuie sur l’entrée et, si besoin, note le nom du package (par exemple com.aura.oobe.samsung).

Si tu vois que l’appli a beaucoup d’autorisations et ne peut pas être désinstallée normalement, c’est un fort indice qu’il s’agit du bloatware en question.

2. Désactiver et limiter les flux de données

Même si AppCloud ne peut souvent pas être complètement supprimé, tu peux en limiter les dégâts :

Ouvre Paramètres → Applications → AppCloud.

Choisis Forcer l’arrêt (Force stop) pour arrêter l’instance en cours d’exécution.

Si possible, mets l’appli en Désactivée pour éviter qu’elle fonctionne au premier plan.

Vérifie dans le Galaxy Store ou dans les paramètres de l’appli si tu peux désactiver les données en arrière‑plan et l’installation automatique d’applis. De nombreux utilisateurs signalent que cela réduit fortement l’installation de nouveau bloatware.

Important : après de grosses mises à jour système, vérifie si AppCloud n’a pas été réactivée – certains utilisateurs indiquent que l’appli réapparaît après les mises à jour.

3. Suppression complète avec ADB (réservé aux utilisateurs avancés)

Si tu es à l’aise techniquement et prêt·e à prendre un certain risque, tu peux supprimer AppCloud de ton profil utilisateur à l’aide d’Android Debug Bridge (ADB).

Procédure de base :

Installe ADB sur ton ordinateur (Android Platform Tools).

Sur ton smartphone, active les Options pour les développeurs et le Débogage USB.

Connecte l’appareil au PC via USB et autorise la connexion ADB.

Dans un terminal ou une fenêtre PowerShell sur ton PC, exécute une commande ADB, par exemple :

• adb shell pm uninstall -k --user 0 com.aura.oobe.samsung

Cette commande supprime le package pour ton compte utilisateur.

Selon l’appareil et la région, tu devras peut‑être utiliser un autre nom de package (voir les IOC ci‑dessus).

Avertissement important :
C’est une manipulation destinée aux utilisateurs avancés. Des commandes ADB erronées peuvent rendre le système instable, et dans certains cas le fabricant peut invoquer une perte de garantie si des modifications non souhaitées du système sont détectées. En cas de doute, fais d’abord une sauvegarde complète et renseigne‑toi soigneusement.

Protection technique avec Anti Spy & Antivirus AI

Même si tu n’arrives pas à te débarrasser complètement d’AppCloud, les bons outils peuvent rendre ton appareil bien plus résistant – en particulier contre les spyware, stalkerware et composants d’adware agressifs.

Anti Spy : focus sur la surveillance et le stalkerware

Anti Spy est une solution antispyware spécialisée pour Android. L’appli a été testée par le laboratoire indépendant AV‑TEST et a obtenu un taux de détection très élevé pour les malwares Android ; de plus, Anti Spy est la première – et à ce jour la seule – appli antispyware à avoir reçu aussi la certification DEKRA MASA L1.

Concrètement, cela signifie pour toi :

Anti Spy analyse les applis et processus installés non seulement à l’aide de signatures classiques, mais aussi via un double scanner basé sur l’IA pour détecter des comportements suspects – par exemple des applis espionnes cachées, du stalkerware ou des trackers qui s’exécutent en arrière‑plan avec des permissions sensibles.

L’appli est conçue pour déclencher une alerte même pour des applis système ou du constructeur si elles se comportent comme des logiciels de surveillance – qu’elles soient visibles ou non dans le tiroir d’applis.

Selon une analyse récente d’Exodus Privacy, la dernière version publiée et analysée (6.7.3) d’Anti Spy contient 0 tracker, ce qui confirme de manière indépendante l’absence de bibliothèques publicitaires ou d’analytics cachées.

Dans des scénarios comme AppCloud/Aura, c’est crucial : tu obtiens un “second avis” sur la présence éventuelle d’applis qui se comportent comme des logiciels de surveillance ou d’espionnage – même si elles sont livrées officiellement comme “composants système”.

Antivirus AI : protection anti‑malware basée sur l’IA contre l’adware & co.

Antivirus AI complète parfaitement Anti Spy : son cœur de métier, c’est le malware classique, les ransomwares, les chevaux de Troie et l’adware agressif – avec un moteur d’intelligence artificielle qui apprend en continu et adapte dynamiquement ses règles de détection (“AI Life Rules”).

Quelques points importants dans le contexte AppCloud :

Antivirus AI a été certifié à plusieurs reprises par AV‑TEST et a atteint des taux de détection supérieurs à 99 % dans des tests internes et externes, ce qui réduit drastiquement le risque que des menaces passent inaperçues.

L’IA analyse aussi des applis qui ne sont pas officiellement classées comme “malware”, mais qui tombent dans une zone grise en raison d’une activité réseau ou de tracking suspecte – exactement la catégorie dans laquelle se situent de nombreux composants de bloatware et d’ad‑tech.

D’après les rapports récents d’Exodus Privacy, il existe différentes versions d’Antivirus AI : une version plus ancienne (2.1.2) incluait encore un tracker, tandis que la version plus récente analysée (2.2.2) est listée avec 0 tracker. Cela montre que Protectstar a activement réduit le tracking.

En combinaison, Anti Spy et Antivirus AI forment un bouclier de protection qui va bien au‑delà d’un simple “antivirus” classique : tu gagnes de la visibilité sur les applis présentes sur ton appareil, sur leur comportement – et tu peux faire le ménage de manière ciblée.

Le cas AppCloud : quand la monétisation passe avant la vie privée

Le cas AppCloud est un cas d’école de ce qui se passe lorsque la monétisation prend le pas sur la protection de la vie privée. Les fabricants et les sociétés d’ad‑tech concluent des accords en coulisses et, au final, ton smartphone exécute des logiciels dont tu ignores l’existence – mais qui disposent de droits très étendus.

Protectstar, au contraire, fait un choix délibéré :

Les applis Android Anti Spy et Antivirus AI se concentrent sur la protection, pas sur la collecte de données.

Des certifications délivrées par des laboratoires indépendants comme AV‑TEST et DEKRA soulignent que ces produits ne sont pas seulement efficaces, mais aussi transparents.

Des analyses indépendantes – notamment celles d’Exodus Privacy – montrent que Protectstar conçoit ses applis de manière à ne pas intégrer de SDK de tracking cachés, ou à les retirer systématiquement.

Surtout dans des régions où le risque de surveillance est déjà élevé pour des raisons politiques et juridiques, cela constitue une alternative forte face au “bloatware invisible”.

Conclusion : ton smartphone, tes données

L’histoire autour d’AppCloud et Aura montre à quelle vitesse ton smartphone peut devenir un outil de profilage, de publicité et potentiellement de surveillance – sans que tu aies jamais donné ton accord de manière active.

Sources & liens pour aller plus loin

1. SMEX – “Invasive Israeli-founded bloatware is harvesting data from Samsung users in WANA”
   URL : https://smex.org/invasive-israeli-software-is-harvesting-data-from-samsung-users-in-wana/
2. SMEX – “Open Letter to Samsung: End Forced Israeli-Founded Bloatware Installations in the WANA Region”
   URL : https://smex.org/open-letter-to-samsung-end-forced-israeli-app-installations-in-the-wana-region/
3. Al-Estiklal – “Samsung’s ‘Aura’: Israeli Spyware in Your Pocket”
   URL : https://www.alestiklal.net/en/article/samsung-s-aura-israeli-spyware-in-your-pocket
4. Athul Krishnan (Medium) – “Bloatware and Samsung, How to get rid of them for good”
   URL : https://athul-kris.medium.com/bloatware-and-samsung-how-to-get-rid-of-them-for-good-775a44c73752
5. TechFinitive – “What is App Cloud? How do I delete it?”
   URL : https://www.techfinitive.com/explainers/what-is-app-cloud-delete/
6. Protectstar – page produit “Anti Spy Android: Anti Spyware Scanner”
   URL : https://www.protectstar.com/en/products/anti-spy
7. Protectstar – page produit “Antivirus AI for Android”
   URL : https://www.protectstar.com/en/products/antivirus-ai
8. Protectstar Blog – “Anti Spy: World’s First Antispyware App with Dual Certification” (AV‑TEST & DEKRA)
   URL : https://www.protectstar.com/en/blog/anti-spy-worlds-first-antispyware-app-dual-certification
9. Protectstar Blog – “Protectstar Antivirus AI Android Celebrates Its Third AV-TEST Triumph”
   URL : https://www.protectstar.com/en/blog/protectstar-antivirus-ai-android-celebrates-its-third-av-test-triumph
10. AV‑TEST – évaluation de produit Protectstar Anti Spyware 6.0 (Android)
    URL (EN) : https://www.av-test.org/en/antivirus/mobile-devices/android/january-2024/protectstar-anti-spyware-6.0-243113/
11. AV‑TEST – évaluation de produit Protectstar Antivirus AI 2.1 (Android)
    URL (DE) : https://www.av-test.org/de/antivirus/mobilgeraete/android/mai-2024/protectstar-antivirus-ai-2.1-243312/
12. Exodus Privacy – rapport pour com.protectstar.antispy.android (Anti Spy, version 6.7.3)
    URL : https://reports.exodus-privacy.eu.org/en/reports/664531/
13. Exodus Privacy – rapport pour com.protectstar.antivirus (Antivirus AI, version 2.2.2)
    URL : https://reports.exodus-privacy.eu.org/it/reports/623115/
14. Exodus Privacy – page de projet (informations générales & analyse d’applis)
    URL : https://exodus-privacy.eu.org/en/