speakerNOVITÀ!iShredder™ Business per iOS e Android è ora disponibile per gli utenti Enterprise.Scopri di più

AppCloud & Aura: come un bloatware invasivo spia gli utenti Samsung nella regione WANA

AppCloud & Aura: come un bloatware invasivo spia gli utenti Samsung nella regione WANA
18 Novembre 2025

Immagina questo: compri un nuovo smartphone Samsung, lo configuri e, da qualche parte in profondità nel sistema, gira un’app chiamata AppCloud. Non l’hai mai installata consapevolmente, non puoi disinstallarla come una normale app, eppure raccoglie dati su di te.

È esattamente ciò che sta accadendo, in questo momento, milioni di volte in Asia Occidentale e Nord Africa (WANA). Le indagini dell’organizzazione per i diritti digitali SMEX mostrano che su molti dispositivi Samsung della regione è preinstallato un bloatware di origine israeliana chiamato AppCloud, che raccoglie dati degli utenti senza informarli in modo trasparente e senza offrire un modo semplice per opporsi.

Che cos’è esattamente AppCloud?

AppCloud è un componente di sistema preinstallato su molti dispositivi Samsung Galaxy delle serie A e M nella regione WANA. Secondo SMEX, arriva sui dispositivi attraverso una partnership ampliata tra Samsung MENA e l’azienda di origine israeliana ironSource (oggi parte di Unity).

Punti particolarmente critici:

AppCloud gira in profondità nel sistema e si comporta più come un servizio di sistema che come una normale app.

Per un utente normale, rimuoverlo completamente è praticamente impossibile senza accesso root, con il rischio di perdita della garanzia e possibili problemi di sicurezza.

L’app installa o controlla un altro servizio chiamato Aura, che può portare sul dispositivo ulteriori app e raccomandazioni – inclusa pubblicità personalizzata.

SMEX e altre fonti criticano il fatto che l’informativa sulla privacy sia difficile da trovare, che non venga offerta una chiara possibilità di opt‑out e che vengano trattati dati sensibili come indirizzo IP, impronte digitali del dispositivo (device fingerprint) e, in parte, informazioni biometriche.

In poche parole: AppCloud non è “solo” un servizio di comodità, ma un sistema di advertising e tracciamento profondamente integrato, la cui origine e il cui comportamento sono particolarmente delicati in un contesto politicamente sensibile.

Perché la regione WANA è particolarmente colpita?

Diversi fattori rendono la situazione in Asia Occidentale e Nord Africa particolarmente critica:

1. Elevata quota di mercato di Samsung

Nella regione, Samsung è – secondo le analisi di mercato – il principale produttore di smartphone, con circa il 28% di quota.

Se AppCloud è attivo di default su molti dispositivi delle serie A e M, questo riguarda una parte significativa della popolazione.

2. Dimensione giuridica e geopolitica

In paesi come il Libano, le aziende israeliane sono legalmente escluse dai rapporti commerciali. Nonostante ciò, AppCloud proviene da un’azienda fondata in Israele, che nel frattempo è stata acquisita da un gruppo statunitense.

3. Raccolta di dati poco trasparente

SMEX accusa AppCloud di operare senza un consenso informato, di raccogliere dati sensibili e di non offrire una chiara possibilità di opt‑out. Ciò può costituire una violazione dei diritti in materia di protezione dei dati in diversi Stati della regione.

In un reclamo aperto indirizzato a Samsung, SMEX chiede quindi trasparenza su AppCloud, semplici possibilità di opt‑out e la fine delle installazioni forzate sui dispositivi nella regione WANA.

IOC tecnici di AppCloud / AppCloud‑OOBE e Aura

Nota:
I seguenti valori hash e dati di certificato si riferiscono a build ufficialmente firmate di AppCloud/Aura e componenti correlati (bloatware / ad‑tech).

I motori antivirus più diffusi non li classificano come malware in senso classico, ma come software pubblicitario o di tracciamento preinstallato oppure come software potenzialmente indesiderato.

Li riportiamo qui come Indicatori di Compromissione (IOC) nel senso di “questa componente è presente”, non come “hash di virus”.

1. Hash di file di AppCloud / AppCloud‑OOBE

1.1 AppCloud – pacchetto com.ironsource.appcloud.oobe (versioni Sprint / OOBE generiche)

I seguenti hash appartengono a build AppCloud‑OOBE note e ufficialmente firmate, come quelle disponibili, ad esempio, su APKMirror per dispositivi Sprint. Non sono infezioni, ma valori di riferimento con cui puoi riconoscere varianti di AppCloud nelle tue analisi.

Variante 1 – AppCloud 6.3.29.0 (Android 7.0+, build Sprint)
Fonte: APKMirror, pacchetto com.ironsource.appcloud.oobe.

SHA‑256: 53f4cc60049251f5ad966d55f0e1eea799452fba8995a8b7319614f593570cfd

APKMirror mostra inoltre l’impronta del certificato della firma Sprint (non della firma ironSource):

Cert SHA‑256: 27f96dbab77b31f6953e4cd2c2defe15f5d7c78f073dd7162018ef476b097c34

Variante 2 – AppCloud 3.8.8.4.3 (build Sprint più vecchia)
Sempre APKMirror, pacchetto com.ironsource.appcloud.oobe.

SHA‑256: dcbbac7e05f332a6288f65934fc5f4ee189e41f0db89bcedb86f52cd16a0703f

Anche qui viene utilizzata la stessa impronta di certificato Sprint.

Valutazione:
Questi hash sono buoni riferimenti se vuoi cercare nelle tue collezioni di APK o nei log i classici build AppCloud‑OOBE. Tuttavia non sono specifici di Samsung, ma tipiche varianti di operatori/OEM.

1.2 AppCloud – pacchetto com.aura.oobe.samsung.gl (variante Samsung)

Per la variante Samsung con nome pacchetto com.aura.oobe.samsung.gl, particolarmente rilevante nel contesto WANA, al momento non esiste un elenco di hash affidabile, mantenuto pubblicamente.

Per i build di sistema specifici di com.aura.oobe.samsung.gl utilizzati in WANA non esistono attualmente hash SHA‑256 documentati in modo pubblico e affidabile. Per scopi IOC è quindi meglio lavorare con:

Nomi di pacchetto (com.aura.oobe.samsung.gl, com.aura.oobe.samsung),

Impronte di certificato (vedi sezione 2),

IOC di rete (vedi sezione 3),

piuttosto che fare affidamento su singoli hash di file.

1.3 Altri hash dell’ecosistema ironSource/AppCloud

Esistono altre varianti nell’ecosistema AppCloud/Aura preinstallate su dispositivi di altri produttori o operatori. Non sono direttamente i build Samsung/WANA, ma possono essere chiaramente ricondotte allo stesso ecosistema e risultano interessanti per attività di clustering:

vrChannel 2.4.7.1 – pacchetto com.ironsource.appcloud.store.lg.vr (variante LG/VR)
Fonte: APKPure.

File SHA‑1: 4b77673f031749feaef5026dfd15025800aa650d

Firma (Cert SHA‑1): 01d845b26b688d8ef647205a5944e9407e52e06e

Airtel Store, Uganda 1.5.1 – pacchetto com.ironsource.appcloud.appstore.airtelug (variante operatore)
Fonte: APKPure.

File SHA‑1: e4be20c769d0a89e3e477a3bf9221eddc85ee33f

Firma (Cert SHA‑1): 7ff152f5eaca441d32542d3588bbe08b2a6bfc3b

Valutazione:
Questi hash sono utili se vuoi analizzare o categorizzare l’intero ecosistema AppCloud/Aura (per esempio per telemetria, clustering o threat intelligence). Per un rilevamento specifico Samsung/WANA, invece, sono più un “nice to have” che IOC fondamentali.

2. Impronte di certificato di ironSource/AppCloud

Le impronte digitali dei certificati sono spesso più stabili dei singoli hash di file, finché il fornitore non cambia certificato di firma. Per i build di AppCloud firmati con un certificato ironSource, APKMirror mostra, tra le altre, le seguenti informazioni:

Organization (O): ironSource Ltd.

Cert SHA‑256: 04671dd36b2be531a6c1869422bb8944a76e646ac5824f864e530910c00b41c7

Questa impronta compare, ad esempio, in versioni di AppCloud come 6.3.17.3 o 8.1.11.0, firmate direttamente da ironSource.

Utilità pratica:
Se analizzi automaticamente APK (scanner interni, CI/CD, audit di firmware), puoi contrassegnare ogni app firmata con questo certificato come “candidata ironSource/AppCloud”, indipendentemente dall’hash esatto. In combinazione con nomi di pacchetto e domini, questo semplifica notevolmente il rilevamento di una parte consistente dell’ecosistema AppCloud.

3. IOC di rete (per Suricata, pf, filtri DNS, ecc.)

Dal punto di vista dell’infrastruttura, gli indicatori di rete sono spesso più robusti dei singoli hash di file, perché i binari cambiano a ogni aggiornamento, mentre i domini di backend possono restare stabili per anni.

Domini importanti nell’ambiente AppCloud/Aura sono, per esempio:

assetscdn.isappcloud.com – CDN per asset di AppCloud; in vari report di sandbox e database di reputazione è classificato come “suspicious/malicious”, anche perché da lì sono stati distribuiti file EXE con un basso tasso di rilevamento antivirus.

persy.isappcloud.com – indicato, ad esempio, nei test ImmuniWeb su com.aura.oobe.samsung.gl come endpoint esterno di comunicazione.

Altri domini citati in thread di provider e community nel contesto AppCloud, tra cui:

ape-androids2.isappcloud.com

ape-eu.isappcloud.com

ib.isappcloud.com

user-profile.isappcloud.com

Passo dopo passo: come trovare ed eliminare AppCloud

Anche senza accesso root puoi fare parecchio per individuare AppCloud e limitarne l’impatto. Di seguito una guida compatta basata sulle raccomandazioni di SMEX, di sviluppatori indipendenti e di how‑to della community.

1. Individuazione tramite le impostazioni di sistema

Su molti dispositivi puoi trovare AppCloud direttamente nelle impostazioni:

Apri Impostazioni → App (o Applicazioni).

Attiva, se presente, l’opzione Mostra app di sistema.

Cerca “AppCloud” oppure scorri l’elenco facendo attenzione a nomi come AppCloud, Aura o varianti con brand dell’operatore.

Tocca la voce e, se serve, annota il nome del pacchetto (per esempio com.aura.oobe.samsung).

Se l’app ha molte autorizzazioni e non può essere disinstallata normalmente, è un forte indizio che si tratti del bloatware in questione.

2. Disabilitare e limitare il flusso di dati

Anche se spesso non è possibile rimuovere del tutto AppCloud, puoi comunque ridurre i danni:

Apri Impostazioni → App → AppCloud.

Seleziona Termina / Arresto forzato (Force stop) per fermare l’istanza in esecuzione.

Se possibile, imposta l’app su Disabilita in modo che non lavori più in primo piano.

Controlla nel Galaxy Store o nelle impostazioni dell’app se puoi disattivare i dati in background e l’installazione automatica di app. Molti utenti segnalano che in questo modo l’installazione di nuovo bloatware si riduce sensibilmente.

Importante: dopo i grandi aggiornamenti di sistema, controlla se AppCloud è stato riattivato: alcuni utenti riportano che l’app ricompare dopo gli update.

3. Rimozione completa con ADB (solo per utenti esperti)

Se hai una certa dimestichezza tecnica e sei disposto ad assumerti qualche rischio, puoi rimuovere AppCloud dal tuo account utente usando Android Debug Bridge (ADB).

Procedura di base:

Installa ADB sul tuo computer (Android Platform Tools).

Sullo smartphone, abilita le Opzioni sviluppatore e il Debug USB.

Collega il dispositivo al PC tramite USB e autorizza la connessione ADB.

In una finestra di terminale/PowerShell sul PC esegui un comando ADB, per esempio:

  • adb shell pm uninstall -k --user 0 com.aura.oobe.samsung

Questo comando rimuove il pacchetto per il tuo account utente.

A seconda del dispositivo/paese potresti dover usare un altro nome di pacchetto (vedi IOC sopra).

Avvertenza importante:
Si tratta di un intervento per utenti esperti. Comandi ADB errati possono causare comportamenti instabili e, in alcuni casi, il produttore può sostenere che la garanzia sia decaduta a causa di modifiche non autorizzate al sistema. In caso di dubbio, effettua prima un backup completo e informati bene sull’argomento.

Protezione tecnica con Anti Spy e Antivirus AI

Anche se non riesci a eliminare del tutto AppCloud, con gli strumenti giusti puoi rendere il tuo dispositivo molto più resistente – in particolare contro spyware, stalkerware e componenti di adware aggressivi.

Anti Spy: focus su sorveglianza e stalkerware

Anti Spy è una soluzione antispyware specializzata per Android. L’app è stata testata dal laboratorio indipendente AV‑TEST e ha ottenuto un tasso di rilevamento molto elevato per il malware Android; inoltre Anti Spy è la prima e finora unica app antispyware ad aver ricevuto anche la certificazione DEKRA MASA L1.

Nella pratica, per te significa:

Anti Spy analizza le app e i processi installati non solo sulla base di firme classiche, ma anche tramite uno scanner duale basato su IA per riconoscere comportamenti sospetti – come app spia nascoste, stalkerware o tracker che operano in background con permessi sensibili.

L’app è progettata per segnalare anche app di sistema o del produttore se si comportano come software di sorveglianza – indipendentemente dal fatto che siano visibili o meno nel drawer delle app.

Secondo un’analisi recente di Exodus Privacy, l’ultima versione pubblicata e analizzata (6.7.3) di Anti Spy contiene 0 tracker, confermando da fonte indipendente l’assenza di librerie pubblicitarie o di analytics nascoste.

Proprio in scenari come AppCloud/Aura, questo è fondamentale: ottieni un “secondo parere” su eventuali app installate sul dispositivo che si comportano come software di sorveglianza o spionaggio – anche se vengono distribuite ufficialmente come “componenti di sistema”.

Antivirus AI: protezione anti‑malware basata su IA contro adware & co.

Antivirus AI integra in modo ideale Anti Spy: il suo focus è su malware classico, ransomware, trojan e adware aggressivo – ma con un motore di intelligenza artificiale che apprende continuamente e adatta dinamicamente le sue regole di rilevamento (“AI Life Rules”).

Alcuni aspetti rilevanti nel contesto AppCloud:

Antivirus AI è stato certificato più volte da AV‑TEST e ha raggiunto tassi di rilevamento superiori al 99% in test interni ed esterni, riducendo drasticamente il rischio che minacce passino inosservate.

L’IA analizza anche app che formalmente non sono classificate come “malware”, ma che rientrano in una zona grigia a causa di attività di rete o di tracciamento sospette – esattamente la categoria in cui si collocano molte componenti di bloatware e ad‑tech.

Secondo i report più recenti di Exodus Privacy, esistono diverse versioni di Antivirus AI: una versione precedente (2.1.2) conteneva ancora un tracker, mentre la versione più recente analizzata (2.2.2) è elencata con 0 tracker. Ciò dimostra che Protectstar ha ridotto attivamente l’uso di tecnologie di tracciamento.

Insieme, Anti Spy e Antivirus AI creano uno scudo protettivo che va ben oltre il classico “antivirus”: ti offrono trasparenza su quali app sono presenti sul dispositivo, come si comportano – e ti permettono di fare pulizia in modo mirato.

Il caso AppCloud come lezione su monetizzazione e privacy

Il caso AppCloud è un esempio emblematico di ciò che accade quando la monetizzazione viene anteposta alla privacy. Produttori e aziende di ad‑tech stringono accordi dietro le quinte e, alla fine, sul tuo smartphone gira software di cui non sai nulla – ma con permessi molto estesi.

Protectstar sceglie consapevolmente la strada opposta:

Le app Android Anti Spy e Antivirus AI si concentrano sulla protezione, non sulla raccolta di dati.

Le certificazioni da parte di laboratori indipendenti come AV‑TEST e DEKRA sottolineano che questi prodotti non sono solo efficaci, ma anche trasparenti.

Analisi indipendenti – in particolare di Exodus Privacy – mostrano che Protectstar progetta le proprie app in modo da non integrare SDK di tracciamento nascosti, oppure li rimuove sistematicamente.

Soprattutto nelle regioni in cui, per ragioni politiche e giuridiche, esiste già un rischio elevato di sorveglianza, questo rappresenta un forte contro‑modello rispetto al “bloatware invisibile”.

Conclusione: il tuo smartphone, i tuoi dati

La storia di AppCloud e Aura dimostra quanto rapidamente il tuo smartphone possa diventare uno strumento di profilazione, pubblicità e – potenzialmente – anche di sorveglianza, senza che tu abbia mai dato un consenso attivo.

Fonti e link di approfondimento

Questo articolo è stato utile? No
1 su 1 persone hanno trovato questo articolo utile
Annulla Invia

Articoli correlati

AppCloud & Aura: come un bloatware invasivo spia gli utenti Samsung nella regione WANA

AppCloud & Aura: come un bloatware invasivo spia gli utenti Samsung nella regione WANA

AppCloud & Aura: come un bloatware invasivo spia gli utenti Samsung nella regione WANA
Back Torna indietro