AppCloud & Aura: como um bloatware invasivo espiona usuários da Samsung em WANA

Imagine o seguinte: você compra um smartphone Samsung novo, configura tudo e, em algum lugar bem fundo do sistema, está rodando um app chamado AppCloud. Você nunca o instalou conscientemente, não consegue desinstalá‑lo como um app normal e, mesmo assim, ele coleta dados sobre você.

É exatamente isso que está acontecendo, hoje, milhões de vezes na região da Ásia Ocidental e Norte da África (WANA). Pesquisas da organização de direitos digitais SMEX mostram que, em muitos aparelhos Samsung na região, vem pré‑instalado um bloatware de origem israelense chamado AppCloud, que coleta dados de usuários sem informá‑los de forma transparente e sem oferecer uma forma simples de se opor.

Afinal, o que é o AppCloud?

O AppCloud é um componente de sistema pré‑instalado em muitos aparelhos Samsung Galaxy das linhas A e M na região WANA. Segundo a SMEX, ele chega a esses dispositivos por meio de uma parceria ampliada entre a Samsung MENA e a empresa de origem israelense ironSource (hoje parte da Unity).

Especialmente crítico:

O AppCloud roda em um nível profundo do sistema e se comporta mais como um serviço de sistema do que como um app comum.

Para usuários comuns, removê‑lo completamente é praticamente impossível sem acesso root, o que traz risco de perda de garantia e possíveis problemas de segurança.

O app instala ou controla outro serviço chamado Aura, que pode trazer apps adicionais e recomendações para o seu aparelho – incluindo anúncios personalizados.

A SMEX e outras fontes criticam o fato de que a política de privacidade é difícil de encontrar, não há uma opção clara de opt‑out e são processados dados sensíveis como endereço IP, “impressões digitais” do dispositivo (device fingerprints) e, em alguns casos, informações biométricas.

Em resumo: o AppCloud não é “apenas” um serviço de conveniência, mas um sistema de publicidade e rastreamento profundamente embutido no sistema, cuja origem e comportamento são especialmente delicados em um contexto político sensível.

Por que a região WANA é particularmente afetada?

Vários fatores tornam a situação na Ásia Ocidental e Norte da África especialmente crítica:

1. Alta participação de mercado da Samsung

Na região, a Samsung é, segundo análises de mercado, a principal fabricante de smartphones, com cerca de 28% de participação.

Se o AppCloud estiver ativo por padrão em muitos aparelhos das linhas A e M, isso atinge uma parcela significativa da população.

2. Dimensão jurídica e geopolítica

Em países como o Líbano, empresas israelenses são legalmente proibidas de fazer negócios. Mesmo assim, o AppCloud vem de uma empresa fundada em Israel, que hoje pertence a um grupo norte‑americano.

3. Coleta de dados pouco transparente

A SMEX acusa o AppCloud de operar sem consentimento informado, coletar dados sensíveis e não oferecer uma opção clara de opt‑out. Isso pode representar violação de direitos de proteção de dados em diversos países da região.

Por isso, em uma carta aberta dirigida à Samsung, a SMEX exige transparência sobre o AppCloud, opções simples de opt‑out e o fim da instalação forçada em aparelhos na região WANA.

IOC técnicos do AppCloud / AppCloud‑OOBE e Aura

Observação:
Os valores de hash e dados de certificado a seguir dizem respeito a builds oficialmente assinados do AppCloud/Aura e componentes relacionados (bloatware / ad‑tech).

Muitos mecanismos antivírus não os classificam como malware clássico, mas como software publicitário ou de rastreamento pré‑instalado, ou como software potencialmente indesejado.

Listamos aqui esses dados como Indicators of Compromise (IOC) no sentido de “esta componente está presente”, não como “hashes de vírus”.

1. Hashes de arquivos do AppCloud / AppCloud‑OOBE

1.1 AppCloud – pacote com.ironsource.appcloud.oobe (Sprint / versões OOBE genéricas)

Os hashes a seguir pertencem a builds AppCloud‑OOBE conhecidos e oficialmente assinados, como os disponibilizados, por exemplo, via APKMirror para aparelhos da Sprint. Eles não são infecções, mas valores de referência para você reconhecer variantes do AppCloud em suas próprias análises.

Variante 1 – AppCloud 6.3.29.0 (Android 7.0+, build Sprint)
Fonte: APKMirror, pacote com.ironsource.appcloud.oobe.

SHA‑256: 53f4cc60049251f5ad966d55f0e1eea799452fba8995a8b7319614f593570cfd

Além disso, o APKMirror mostra a impressão digital do certificado da assinatura da Sprint (não da assinatura da ironSource):

Cert SHA‑256: 27f96dbab77b31f6953e4cd2c2defe15f5d7c78f073dd7162018ef476b097c34

Variante 2 – AppCloud 3.8.8.4.3 (build Sprint mais antigo)
Também APKMirror, pacote com.ironsource.appcloud.oobe.

SHA‑256: dcbbac7e05f332a6288f65934fc5f4ee189e41f0db89bcedb86f52cd16a0703f

Aqui também é usada a mesma impressão digital de certificado da Sprint.

Contexto:
Esses hashes são boas referências caso você queira procurar builds AppCloud‑OOBE clássicos em suas coleções de APK ou registros (logs). Porém, eles não são específicos da Samsung, e sim variantes típicas de operadoras/fabricantes (carrier/OEM).

1.2 AppCloud – pacote com.aura.oobe.samsung.gl (variante Samsung)

Para a variante da Samsung com o nome de pacote com.aura.oobe.samsung.gl, particularmente relevante no contexto WANA, atualmente não existe uma lista pública e confiável de hashes.

Para os builds de sistema específicos de com.aura.oobe.samsung.gl usados em WANA, até o momento não há hashes SHA‑256 documentados de forma confiável. Para fins de IOC, é melhor trabalhar com:

Nomes de pacote (com.aura.oobe.samsung.gl, com.aura.oobe.samsung),

Impressões digitais de certificados (veja a seção 2),

IOC de rede (veja a seção 3),

em vez de depender de hashes de arquivos individuais.

1.3 Outros hashes do ecossistema ironSource/AppCloud

Existem outras variantes no ecossistema AppCloud/Aura que vêm pré‑instaladas em aparelhos de outros fabricantes ou operadoras. Não são exatamente os builds Samsung/WANA, mas podem ser claramente associadas ao mesmo ecossistema e são interessantes para fins de agrupamento (clustering):

vrChannel 2.4.7.1 – pacote com.ironsource.appcloud.store.lg.vr (variante LG/VR)
Fonte: APKPure.

SHA‑1 do arquivo: 4b77673f031749feaef5026dfd15025800aa650d

Assinatura (SHA‑1 do certificado): 01d845b26b688d8ef647205a5944e9407e52e06e

Airtel Store, Uganda 1.5.1 – pacote com.ironsource.appcloud.appstore.airtelug (variante de operadora)
Fonte: APKPure.

SHA‑1 do arquivo: e4be20c769d0a89e3e477a3bf9221eddc85ee33f

Assinatura (SHA‑1 do certificado): 7ff152f5eaca441d32542d3588bbe08b2a6bfc3b

Contexto:
Esses hashes são úteis se você quiser analisar ou categorizar todo o ecossistema AppCloud/Aura (por exemplo, para telemetria, clustering ou threat intelligence). Para uma detecção específica em aparelhos Samsung/WANA, porém, eles são mais “nice to have” do que IOC centrais.

2. Impressões digitais de certificado da ironSource/AppCloud

Impressões digitais de certificados costumam ser mais estáveis do que hashes de arquivos individuais, desde que o fornecedor não volte a assinar seus apps. Para builds do AppCloud assinados com um certificado da ironSource, o APKMirror mostra, entre outros, os seguintes dados:

Organization (O): ironSource Ltd.

Cert SHA‑256: 04671dd36b2be531a6c1869422bb8944a76e646ac5824f864e530910c00b41c7

Essa impressão digital aparece, por exemplo, em versões do AppCloud como 6.3.17.3 ou 8.1.11.0, assinadas diretamente pela ironSource.

Uso prático:
Se você analisa APKs de forma automatizada (scanners internos, CI/CD, auditorias de firmware), pode marcar qualquer app assinado com esse certificado como “candidato a ironSource/AppCloud” – independentemente do hash exato. Em combinação com nomes de pacote e domínios, isso facilita bastante a detecção de uma parte importante do ecossistema AppCloud.

3. IOC de rede (para Suricata, pf, filtros DNS etc.)

Do ponto de vista da infraestrutura, indicadores de rede costumam ser mais robustos do que hashes de arquivos, pois os binários mudam a cada atualização, enquanto os domínios de backend frequentemente permanecem estáveis por anos.

Domínios importantes no ambiente AppCloud/Aura incluem, por exemplo:

assetscdn.isappcloud.com – CDN para assets do AppCloud; em vários relatórios de sandbox e bancos de dados de reputação é classificado como “suspicious/malicious”, em parte porque, a partir dele, foram distribuídos arquivos EXE com baixa taxa de detecção por AV.

persy.isappcloud.com – citado, por exemplo, em testes do ImmuniWeb com com.aura.oobe.samsung.gl como endpoint externo de comunicação.

Outros domínios que aparecem em threads de provedores e comunidades no contexto do AppCloud, como:

ape-androids2.isappcloud.com

ape-eu.isappcloud.com

ib.isappcloud.com

user-profile.isappcloud.com

Passo a passo: como encontrar e se livrar do AppCloud

Mesmo sem acesso root, você pode fazer bastante coisa para detectar o AppCloud e limitar sua atuação. A seguir, um guia compacto baseado nas recomendações da SMEX, de desenvolvedores independentes e de how‑tos da comunidade.

1. Detecção pelas configurações do sistema

Em muitos aparelhos, é possível encontrar o AppCloud diretamente pelas configurações:

Abra Configurações → Aplicativos.

Ative, se existir, a opção Mostrar apps do sistema.

Procure por “AppCloud” ou role a lista e fique atento a nomes como AppCloud, Aura ou variantes com marca de operadora.

Toque na entrada e anote, se necessário, o nome do pacote (por exemplo, com.aura.oobe.samsung).

Se você perceber que o app tem muitas permissões e não pode ser desinstalado normalmente, isso é um forte indício de que se trata do bloatware mencionado.

2. Desativar e restringir o fluxo de dados

Mesmo que o AppCloud muitas vezes não possa ser removido por completo, dá para reduzir o dano:

Abra Configurações → Aplicativos → AppCloud.

Escolha Forçar parada (Force stop) para interromper a instância em execução.

Coloque o app em Desativado, se possível, para que ele não continue atuando em primeiro plano.

Verifique na Galaxy Store ou nas configurações do app se você consegue desativar dados em segundo plano e a instalação automática de apps. Muitos usuários relatam uma grande redução na instalação de novo bloatware ao fazer isso.

Importante: depois de grandes atualizações do sistema, confira se o AppCloud voltou a ser ativado – alguns usuários relatam que o app reaparece após updates.

3. Remoção completa com ADB (apenas para avançados!)

Se você tem experiência técnica e está disposto a assumir certo risco, pode remover o AppCloud da sua conta de usuário usando o Android Debug Bridge (ADB).

Passos básicos:

Instale o ADB no seu computador (Android Platform Tools).

No smartphone, ative as Opções do desenvolvedor e a Depuração USB.

Conecte o aparelho via USB e autorize a conexão ADB.

No terminal/PowerShell do seu PC, execute um comando ADB, por exemplo:

1. adb shell pm uninstall -k --user 0 com.aura.oobe.samsung

Esse comando remove o pacote para a sua conta de usuário.

Dependendo do aparelho/região, você pode precisar de outro nome de pacote (veja os IOC acima).

Aviso importante:
Esse tipo de operação é voltado a usuários experientes. Comandos ADB incorretos podem causar comportamento instável e, em alguns casos, o fabricante pode alegar perda de garantia se forem detectadas alterações indesejadas no sistema. Em caso de dúvida, faça um backup completo antes e estude bem o procedimento.

Proteção técnica com Anti Spy e Antivirus AI

Mesmo que você não consiga se livrar totalmente do AppCloud, as ferramentas certas podem deixar seu aparelho muito mais resistente – especialmente contra spyware, stalkerware e componentes de adware agressivos.

Anti Spy: foco em vigilância e stalkerware

O Anti Spy é uma solução antispyware especializada para Android. O app foi avaliado pelo laboratório independente AV‑TEST e recebeu nota de detecção muito alta para malware em Android; além disso, o Anti Spy é o primeiro – e até agora único – app antispyware a receber também a certificação DEKRA MASA L1.

Na prática, isso significa para você:

O Anti Spy analisa apps e processos instalados não apenas com base em assinaturas clássicas, mas também por meio de um dual‑scanner com IA para detectar comportamentos suspeitos – como apps espiãs ocultas, stalkerware ou rastreadores que atuam em segundo plano com permissões sensíveis.

O app é projetado para emitir alertas inclusive para apps de sistema ou do fabricante se eles se comportarem como software de vigilância – independentemente de aparecerem ou não na gaveta de apps.

Segundo uma análise recente da Exodus Privacy, a versão mais recente analisada (6.7.3) do Anti Spy contém 0 rastreadores, o que confirma, de forma independente, que não há bibliotecas ocultas de publicidade ou analytics rodando junto.

Justamente em cenários como AppCloud/Aura isso é decisivo: você ganha uma segunda opinião sobre se há apps instalados no aparelho que se comportam como software de vigilância ou espionagem – mesmo quando são distribuídos oficialmente como “componentes de sistema”.

Antivirus AI: proteção contra malware baseada em IA para adware e afins

O Antivirus AI complementa o Anti Spy de forma ideal: o foco está em malware clássico, ransomware, trojans e adware agressivo – com um motor de IA que aprende continuamente e ajusta dinamicamente suas regras de detecção (“AI Life Rules”).

Alguns pontos relevantes no contexto do AppCloud:

O Antivirus AI foi certificado diversas vezes pela AV‑TEST e alcançou taxas de detecção acima de 99% em testes internos e externos, reduzindo drasticamente o risco de ameaças passarem despercebidas.

A IA também analisa apps que, formalmente, não são classificados como “malware”, mas caem em uma zona cinzenta devido a atividade de rede ou rastreamento suspeita – exatamente a categoria onde muitos componentes de bloatware e ad‑tech se encaixam.

De acordo com relatórios recentes da Exodus Privacy, existem diferentes versões do Antivirus AI: uma versão mais antiga (2.1.2) ainda incluía um rastreador, enquanto a versão mais recente analisada (2.2.2) aparece com 0 rastreadores. Isso mostra que a Protectstar vem reduzindo ativamente o tracking.

Em conjunto, o Anti Spy e o Antivirus AI formam um escudo de proteção que vai muito além de um “antivírus” tradicional: você passa a ter visibilidade de quais apps estão no aparelho, como se comportam – e pode fazer uma limpeza direcionada.

O caso AppCloud é um exemplo didático do que acontece quando a monetização é colocada acima da privacidade. Fabricantes e empresas de ad‑tech fecham acordos nos bastidores e, no fim, o seu smartphone roda software sobre o qual você não sabe nada – mas com permissões amplas.

A Protectstar, por outro lado, escolhe conscientemente o caminho oposto:

Os apps Android Anti Spy e Antivirus AI focam em proteção, não em coleta de dados.

Certificações de laboratórios independentes como AV‑TEST e DEKRA reforçam que os produtos não são apenas eficazes, mas também transparentes.

Análises independentes – especialmente da Exodus Privacy – mostram que a Protectstar projeta seus apps de forma a não incluir SDKs de rastreamento ocultos ou a removê‑los de maneira sistemática.

Principalmente em regiões onde já existe um risco elevado de vigilância por motivos políticos e jurídicos, isso representa um contraponto forte ao “bloatware invisível”.

Conclusão: seu smartphone, seus dados

A história do AppCloud e do Aura mostra como o seu smartphone pode rapidamente virar uma ferramenta de perfilamento, publicidade e, potencialmente, vigilância – sem que você jamais tenha dado um consentimento ativo.

Fontes e links para saber mais

1. SMEX – “Invasive Israeli-founded bloatware is harvesting data from Samsung users in WANA”
   URL: https://smex.org/invasive-israeli-software-is-harvesting-data-from-samsung-users-in-wana/
2. SMEX – “Open Letter to Samsung: End Forced Israeli-Founded Bloatware Installations in the WANA Region”
   URL: https://smex.org/open-letter-to-samsung-end-forced-israeli-app-installations-in-the-wana-region/
3. Al-Estiklal – “Samsung’s ‘Aura’: Israeli Spyware in Your Pocket”
   URL: https://www.alestiklal.net/en/article/samsung-s-aura-israeli-spyware-in-your-pocket
4. Athul Krishnan (Medium) – “Bloatware and Samsung, How to get rid of them for good”
   URL: https://athul-kris.medium.com/bloatware-and-samsung-how-to-get-rid-of-them-for-good-775a44c73752
5. TechFinitive – “What is App Cloud? How do I delete it?”
   URL: https://www.techfinitive.com/explainers/what-is-app-cloud-delete/
6. Protectstar – página de produto “Anti Spy Android: Anti Spyware Scanner”
   URL: https://www.protectstar.com/en/products/anti-spy
7. Protectstar – página de produto “Antivirus AI for Android”
   URL: https://www.protectstar.com/en/products/antivirus-ai
8. Protectstar Blog – “Anti Spy: World’s First Antispyware App with Dual Certification” (AV‑TEST & DEKRA)
   URL: https://www.protectstar.com/en/blog/anti-spy-worlds-first-antispyware-app-dual-certification
9. Protectstar Blog – “Protectstar Antivirus AI Android Celebrates Its Third AV-TEST Triumph”
   URL: https://www.protectstar.com/en/blog/protectstar-antivirus-ai-android-celebrates-its-third-av-test-triumph
10. AV-TEST – avaliação de produto: Protectstar Anti Spyware 6.0 (Android)
    URL (EN): https://www.av-test.org/en/antivirus/mobile-devices/android/january-2024/protectstar-anti-spyware-6.0-243113/
11. AV-TEST – avaliação de produto: Protectstar Antivirus AI 2.1 (Android)
    URL (DE): https://www.av-test.org/de/antivirus/mobilgeraete/android/mai-2024/protectstar-antivirus-ai-2.1-243312/
12. Exodus Privacy – relatório de com.protectstar.antispy.android (Anti Spy, versão 6.7.3)
    URL: https://reports.exodus-privacy.eu.org/en/reports/664531/
13. Exodus Privacy – relatório de com.protectstar.antivirus (Antivirus AI, versão 2.2.2)
    URL: https://reports.exodus-privacy.eu.org/it/reports/623115/
14. Exodus Privacy – página do projeto (informações gerais e análise de apps)
    URL: https://exodus-privacy.eu.org/en/