AppCloud и Aura: как инвазивный bloatware шпионит за пользователями Samsung в регионе WANA

Представь: ты покупаешь новый смартфон Samsung, настраиваешь его, и где‑то глубоко в системе работает приложение под названием AppCloud. Ты его никогда сознательно не устанавливал, удалить обычным способом не можешь, а оно всё равно собирает данные о тебе.

Именно это сейчас миллион раз происходит в Западной Азии и Северной Африке (WANA). Исследования правозащитной организации в сфере цифровых прав SMEX показывают, что на многих устройствах Samsung в этом регионе предустанавливается bloatware израильского происхождения под названием AppCloud, который собирает пользовательские данные без прозрачного информирования и без простой возможности отказа.

Что вообще такое AppCloud?

AppCloud — это предустановленный системный компонент на многих устройствах Samsung Galaxy серий A и M в регионе WANA. По данным SMEX, он попадает на устройства в рамках расширенного партнёрства между Samsung MENA и основанной в Израиле компанией ironSource (сейчас входит в Unity).

Особенно критично:

AppCloud работает глубоко в системе и ведёт себя скорее как системная служба, а не как обычное приложение.

Полностью удалить его обычному пользователю практически невозможно без получения root‑доступа, а это грозит потерей гарантии и потенциальными проблемами с безопасностью.

Приложение устанавливает или управляет дополнительным сервисом под названием Aura, который может загружать на устройство другие приложения и «рекомендации», включая персонализированную рекламу.

SMEX и другие источники критикуют то, что политику конфиденциальности найти крайне сложно, не предлагается понятный механизм opt‑out, а также обрабатываются чувствительные данные — такие как IP‑адрес, «отпечатки» устройства (device fingerprints) и, местами, биометрическая информация.

Короче говоря: AppCloud — это не просто «служба удобства», а глубоко встроенная рекламно‑трекерная система, происхождение и поведение которой особенно проблемны в политически чувствительном контексте.

Почему регион WANA страдает особенно сильно?

Ситуацию в Западной Азии и Северной Африке делают особенно острой несколько факторов:

1. Высокая доля рынка Samsung

В регионе Samsung, согласно отраслевым исследованиям, является ведущим поставщиком смартфонов с долей около 28 %.

Если AppCloud по умолчанию активен на большом числе устройств серий A и M, это затрагивает существенную часть населения.

2. Правовой и геополитический аспект

В таких странах, как Ливан, израильским компаниям юридически запрещено вести бизнес. Тем не менее AppCloud происходит от фирмы, основанной в Израиле и теперь принадлежащей американской корпорации.

3. Нетранспарентный сбор данных

SMEX обвиняет AppCloud в работе без информированного согласия, сборе чувствительных данных и отсутствии понятного механизма отказа (opt‑out). Это может означать нарушения законодательства о защите данных сразу в нескольких государствах региона.

В открытой жалобе в адрес Samsung SMEX требует прозрачности вокруг AppCloud, простых способов opt‑out и прекращения принудительной установки на устройствах в регионе WANA.

Технические IOC для AppCloud / AppCloud‑OOBE и Aura

Примечание:
Следующие значения хешей и данные сертификатов относятся к официально подписанным сборкам AppCloud/Aura и связанным компонентам (bloatware / ad‑tech).

Популярные антивирусные движки, как правило, не классифицируют их как классический вредонос, а относят к предустановленному рекламному/трекерному ПО или потенциально нежелательным программам (PUP).

Здесь мы приводим их как Indicators of Compromise (IOC) в смысле «эта компонента присутствует», а не как «хеши вирусов».

1. Файловые хеши AppCloud / AppCloud‑OOBE

1.1 AppCloud — пакет com.ironsource.appcloud.oobe (Sprint / типовые OOBE‑версии)

Следующие хеши относятся к известным, официально подписанным сборкам AppCloud‑OOBE, которые, например, доступны через APKMirror для устройств оператора Sprint. Это не заражения, а эталонные значения, по которым ты можешь узнавать варианты AppCloud в собственных анализах.

Вариант 1 – AppCloud 6.3.29.0 (Android 7.0+, сборка Sprint)
Источник: APKMirror, пакет com.ironsource.appcloud.oobe.

SHA‑256: 53f4cc60049251f5ad966d55f0e1eea799452fba8995a8b7319614f593570cfd

Кроме того, APKMirror показывает отпечаток сертификата подписи Sprint (а не подписи ironSource):

Cert SHA‑256: 27f96dbab77b31f6953e4cd2c2defe15f5d7c78f073dd7162018ef476b097c34

Вариант 2 – AppCloud 3.8.8.4.3 (более старая сборка Sprint)
Также APKMirror, пакет com.ironsource.appcloud.oobe.

SHA‑256: dcbbac7e05f332a6288f65934fc5f4ee189e41f0db89bcedb86f52cd16a0703f

И здесь используется тот же отпечаток сертификата Sprint.

Интерпретация:
Эти хеши — хорошие опорные точки, если ты хочешь искать в своих коллекциях APK или логах классические сборки AppCloud‑OOBE. Но они не специфичны для Samsung, а представляют собой типичные варианты для операторов/ОЕМ.

1.2 AppCloud — пакет com.aura.oobe.samsung.gl (вариант Samsung)

Для варианта Samsung с именем пакета com.aura.oobe.samsung.gl, который особенно важен в контексте WANA, пока не существует общедоступного, надёжно поддерживаемого списка хешей.

Для конкретных системных сборок com.aura.oobe.samsung.gl, используемых в WANA, на данный момент нет достоверно задокументированных SHA‑256‑хешей. Для задач IOC лучше опираться на:

имена пакетов (com.aura.oobe.samsung.gl, com.aura.oobe.samsung),

отпечатки сертификатов (см. раздел 2),

сетевые IOC (см. раздел 3),

а не на отдельные файловые хеши.

1.3 Другие хеши из экосистемы ironSource/AppCloud

Есть и другие варианты в экосистеме AppCloud/Aura, предустанавливаемые на устройствах других производителей или операторов. Это не те самые сборки Samsung/WANA, но их можно однозначно отнести к тому же экосистемному семейству — и они интересны для задач кластеризации:

vrChannel 2.4.7.1 — пакет com.ironsource.appcloud.store.lg.vr (вариант LG/VR)
Источник: APKPure.

File SHA‑1: 4b77673f031749feaef5026dfd15025800aa650d

Подпись (Cert SHA‑1): 01d845b26b688d8ef647205a5944e9407e52e06e

Airtel Store, Uganda 1.5.1 — пакет com.ironsource.appcloud.appstore.airtelug (вариант оператора)
Источник: APKPure.

File SHA‑1: e4be20c769d0a89e3e477a3bf9221eddc85ee33f

Подпись (Cert SHA‑1): 7ff152f5eaca441d32542d3588bbe08b2a6bfc3b

Интерпретация:
Такие хеши полезны, если ты хочешь анализировать или классифицировать всю экосистему AppCloud/Aura (например, для телеметрии, кластеризации, threat intelligence). Для точечного обнаружения Samsung/WANA они скорее «приятный бонус», чем ключевые IOC.

2. Отпечатки сертификатов ironSource/AppCloud

Отпечатки сертификатов часто более стабильны, чем отдельные файловые хеши, до тех пор, пока вендор не меняет подпись. Для сборок AppCloud, подписанных сертификатом ironSource, APKMirror показывает, в частности, следующие данные:

Organization (O): ironSource Ltd.

Cert SHA‑256: 04671dd36b2be531a6c1869422bb8944a76e646ac5824f864e530910c00b41c7

Этот отпечаток встречается, например, у версий AppCloud 6.3.17.3 и 8.1.11.0, подписанных напрямую компанией ironSource.

Практическая польза:
Если ты автоматически анализируешь APK (внутренние сканеры, CI/CD, аудиты прошивок), можно помечать каждое приложение, подписанное этим сертификатом, как «кандидат ironSource/AppCloud» — независимо от конкретного хеша. В сочетании с именами пакетов и доменами это сильно облегчает обнаружение значительной части экосистемы AppCloud.

3. Сетевые IOC (для Suricata, pf, DNS‑фильтров и т. п.)

С точки зрения инфраструктуры сетевые индикаторы обычно более устойчивы, чем файловые хеши: бинарники меняются с каждым апдейтом, а backend‑домены могут оставаться неизменными годами.

Важные домены в окружении AppCloud/Aura, например:

assetscdn.isappcloud.com — CDN для ресурсов AppCloud; в ряде sandbox‑отчётов и баз репутации помечен как «suspicious/malicious», в том числе потому, что оттуда распространялись EXE‑файлы с низкой детектируемостью антивирусами.

persy.isappcloud.com — упоминается, например, в тестах ImmuniWeb для com.aura.oobe.samsung.gl как внешний конечный узел коммуникации.

другие домены, фигурирующие в обсуждениях провайдеров и сообществ в контексте AppCloud, например:

• ape-androids2.isappcloud.com
• ape-eu.isappcloud.com
• ib.isappcloud.com
• user-profile.isappcloud.com

Шаг за шагом: как найти AppCloud и избавиться от него

Даже без root‑доступа можно сделать немало, чтобы выявить AppCloud и ограничить его активность. Ниже — краткое руководство, основанное на рекомендациях SMEX, независимых разработчиков и гайдах сообщества.

1. Поиск через системные настройки

На многих устройствах AppCloud можно найти прямо через настройки:

Открой «Настройки → Приложения».

Включи (если есть) опцию «Показать системные приложения».

Найди по строке поиска «AppCloud» или пролистай список, обращая внимание на названия AppCloud, Aura или брендированные варианты от оператора.

Нажми на запись и при необходимости запиши имя пакета (например, com.aura.oobe.samsung).

Если у приложения много разрешений и его нельзя удалить обычным способом, это сильный признак, что перед тобой тот самый bloatware.

2. Отключение и ограничение передачи данных

Даже если AppCloud нельзя полностью удалить, можно хотя бы снизить ущерб:

Открой «Настройки → Приложения → AppCloud».

Нажми «Остановить принудительно» (Force stop), чтобы прекратить текущий процесс.

По возможности переведи приложение в состояние «Отключено», чтобы оно не работало на переднем плане.

Проверь в Galaxy Store или в настройках приложения, можно ли отключить фоновые данные и автоматическую установку приложений. Многие пользователи отмечают, что после этого объём доустанавливаемого мусорного ПО заметно уменьшается.

Важно: после крупных обновлений системы стоит проверять, не активировался ли AppCloud снова — некоторые пользователи сообщают, что приложение «возвращается» после апдейтов.

3. Полное удаление через ADB (только для продвинутых!)

Если ты технически подкован и готов принять определённый риск, можешь удалить AppCloud из своего пользовательского профиля с помощью Android Debug Bridge (ADB).

Общий порядок действий:

Установи ADB на компьютер (Android Platform Tools).

Включи на смартфоне режим разработчика и отладку по USB.

Подключи устройство по USB и подтверди авторизацию ADB.

В терминале или PowerShell на компьютере выполни команду ADB, например:

• adb shell pm uninstall -k --user 0 com.aura.oobe.samsung

Эта команда удаляет пакет для твоего пользовательского аккаунта.

В зависимости от устройства/региона может понадобиться другой идентификатор пакета (см. IOC выше).

Важное предупреждение:
Это вмешательство для опытных пользователей. Ошибочные команды ADB могут привести к нестабильной работе системы, а в некоторых случаях производитель может заявить об утрате гарантии из‑за «несанкционированных изменений» системы. В случае сомнений сделай полный бэкап и тщательно изучи тему заранее.

Техническая защита с помощью Anti Spy и Antivirus AI

Даже если полностью избавиться от AppCloud не получается, с правильными инструментами можно заметно усилить защиту устройства — особенно от шпионских программ, сталкерваре и агрессивных рекламных компонентов.

Anti Spy: акцент на слежке и stalkerware

Anti Spy — специализированное антишпионское решение для Android. Приложение протестировано независимой лабораторией AV‑TEST и показало очень высокую детектируемость Android‑вредоносов; кроме того, Anti Spy — первое и пока единственное антишпионское приложение, получившее сертификат DEKRA MASA L1.

В повседневном использовании это означает для тебя:

Anti Spy анализирует установленные приложения и процессы не только по классическим сигнатурам, но и с помощью двухуровневого сканера на базе ИИ, чтобы выявлять подозрительное поведение — скрытые шпионские приложения, stalkerware или трекеры, которые работают в фоне с широкими правами.

Приложение спроектировано так, чтобы поднимать тревогу и по системным или предустановленным приложениям, если они ведут себя как софт слежки — вне зависимости от того, видны они в списке приложений или нет.

Согласно свежему анализу Exodus Privacy, последняя опубликованная и проанализированная версия Anti Spy (6.7.3) содержит 0 трекеров, что независимо подтверждает отсутствие встроенных рекламных или аналитических библиотек.

В сценариях вроде AppCloud/Aura это критично: ты получаешь «второе мнение» о том, нет ли на устройстве приложений, поведение которых напоминает шпионское ПО, даже если они официально поставляются как «системные компоненты».

Antivirus AI: ИИ‑защита от вредоносов, adware и не только

Antivirus AI идеально дополняет Anti Spy: основной фокус — классический malware, ransomware, трояны и агрессивное adware, но с использованием ИИ‑движка, который постоянно обучается и динамически подстраивает правила детектирования (AI Life Rules).

В контексте AppCloud важны несколько моментов:

Antivirus AI неоднократно сертифицировался лабораторией AV‑TEST и в внутренних и внешних тестах показывал уровни детекта свыше 99 %, что резко снижает риск незамеченных угроз.

ИИ анализирует и такие приложения, которые формально не считаются «вредоносами», но попадают в серую зону из‑за подозрительной сетевой активности или трекинга — как раз та категория, к которой относятся многие компоненты bloatware и ad‑tech.

По данным последних отчётов Exodus Privacy, существует несколько версий Antivirus AI: более ранняя версия (2.1.2) ещё содержала один трекер, тогда как более новая проанализированная версия 2.2.2 значится уже с 0 трекеров. Это показывает, что Protectstar осознанно сокращает использование трекинга.

Вместе Anti Spy и Antivirus AI образуют защитный щит, который заметно выходит за рамки классического «антивируса»: ты получаешь прозрачность — какие приложения стоят на устройстве, как они себя ведут — и можешь целенаправленно наводить порядок.

Случай AppCloud — наглядный пример того, что происходит, когда монетизация ставится выше приватности. Производители и ad‑tech‑компании заключают сделки за кулисами, и в итоге на твоём смартфоне крутится ПО, о котором ты ничего не знаешь — но которое обладает весьма широкими правами.

Protectstar сознательно выбирает противоположный путь:

Android‑приложения Anti Spy и Antivirus AI сосредоточены на защите, а не на сборе данных.

Сертификации независимых лабораторий, таких как AV‑TEST и DEKRA, подчёркивают, что продукты не только эффективны, но и прозрачны.

Независимые анализы — прежде всего от Exodus Privacy — показывают, что Protectstar проектирует свои приложения так, чтобы скрытые tracking‑SDK не внедрялись или последовательно удалялись.

Особенно в регионах, где политические и правовые условия и так создают повышенный риск слежки, это мощная альтернатива «невидимому bloatware».

Итог: твой смартфон — твои данные

История с AppCloud и Aura показывает, как быстро твой смартфон может превратиться в инструмент для профилирования, рекламы и потенциально даже для слежки — без того, чтобы ты когда‑либо активно согласился на это.

Источники и дополнительные ссылки

1. SMEX – “Invasive Israeli-founded bloatware is harvesting data from Samsung users in WANA”
   URL: https://smex.org/invasive-israeli-software-is-harvesting-data-from-samsung-users-in-wana/
2. SMEX – “Open Letter to Samsung: End Forced Israeli-Founded Bloatware Installations in the WANA Region”
   URL: https://smex.org/open-letter-to-samsung-end-forced-israeli-app-installations-in-the-wana-region/
3. Al-Estiklal – “Samsung’s ‘Aura’: Israeli Spyware in Your Pocket”
   URL: https://www.alestiklal.net/en/article/samsung-s-aura-israeli-spyware-in-your-pocket
4. Athul Krishnan (Medium) – “Bloatware and Samsung, How to get rid of them for good”
   URL: https://athul-kris.medium.com/bloatware-and-samsung-how-to-get-rid-of-them-for-good-775a44c73752
5. TechFinitive – “What is App Cloud? How do I delete it?”
   URL: https://www.techfinitive.com/explainers/what-is-app-cloud-delete/
6. Protectstar – страница продукта “Anti Spy Android: Anti Spyware Scanner”
   URL: https://www.protectstar.com/en/products/anti-spy
7. Protectstar – страница продукта “Antivirus AI for Android”
   URL: https://www.protectstar.com/en/products/antivirus-ai
8. Protectstar Blog – “Anti Spy: World’s First Antispyware App with Dual Certification” (AV-TEST & DEKRA)
   URL: https://www.protectstar.com/en/blog/anti-spy-worlds-first-antispyware-app-dual-certification
9. Protectstar Blog – “Protectstar Antivirus AI Android Celebrates Its Third AV-TEST Triumph”
   URL: https://www.protectstar.com/en/blog/protectstar-antivirus-ai-android-celebrates-its-third-av-test-triumph
10. AV-TEST – оценка продукта Protectstar Anti Spyware 6.0 (Android)
    URL (EN): https://www.av-test.org/en/antivirus/mobile-devices/android/january-2024/protectstar-anti-spyware-6.0-243113/
11. AV-TEST – оценка продукта Protectstar Antivirus AI 2.1 (Android)
    URL (DE): https://www.av-test.org/de/antivirus/mobilgeraete/android/mai-2024/protectstar-antivirus-ai-2.1-243312/
12. Exodus Privacy – отчёт по “com.protectstar.antispy.android” (Anti Spy, версия 6.7.3)
    URL: https://reports.exodus-privacy.eu.org/en/reports/664531/
13. Exodus Privacy – отчёт по “com.protectstar.antivirus” (Antivirus AI, версия 2.2.2)
    URL: https://reports.exodus-privacy.eu.org/it/reports/623115/
14. Exodus Privacy – проектная страница (общая информация и проверка приложений)
    URL: https://exodus-privacy.eu.org/en/