AppCloud 案例的启示：当“变现”压倒隐私

想象一下：你买了一部新的三星智能手机，完成所有设置，而在系统深处，有一个名为 AppCloud 的应用正在悄悄运行。你从来没有主动安装过它，也无法像普通应用那样正常卸载，但它却在收集你的数据。

这正是目前在西亚和北非（WANA）地区数以百万计的用户身上真实发生的事情。数字权利组织 SMEX 的调查显示，在该地区的许多三星设备上，都预装了一个由以色列创立的臃肿软件（bloatware） AppCloud。它在缺乏透明告知、且几乎没有简便拒绝（opt‑out）方式的情况下收集用户数据。

AppCloud 到底是什么？

AppCloud 是预装在 WANA 地区众多 三星 Galaxy A 系列和 M 系列 设备上的系统组件。根据 SMEX 的说法，它出现在这些设备上，是因为 Samsung MENA 与一家以色列创立、如今隶属 Unity 的公司 ironSource 扩大了合作伙伴关系。

特别值得警惕的是：

AppCloud 深度嵌入系统，比起普通应用更像一个系统服务。

对普通用户来说，想彻底删除几乎不可能，除非获取 root 权限，而这又会带来保修失效和安全风险。

该应用会安装或控制另一个名为 Aura 的服务，可以向你的设备推送额外的应用和“推荐”——其中包括个性化广告。

SMEX 等机构批评说，AppCloud 的隐私政策几乎难以找到，没有清晰的退出（opt‑out）机制，却在处理 IP 地址、设备指纹，甚至部分生物识别信息等敏感数据。

简而言之：AppCloud 远不只是一个“便利服务”，而是一个深度嵌入系统的广告与追踪平台。考虑到它的来源以及使用场景所处的政治敏感环境，其存在尤为棘手。

为什么 WANA 地区受到的影响特别大？

在西亚和北非，多个因素叠加，使得问题变得格外严峻：

1. 三星的高市场占有率

市场分析表明，在该地区，三星是领先的智能手机厂商，市场份额约为 28%。

如果 AppCloud 在大量 A / M 系列设备上默认处于激活状态，这意味着相当大比例的人口都会受到影响。

2. 法律与地缘政治维度

在包括黎巴嫩在内的一些国家，出于法律原因，以色列公司被禁止开展业务。尽管如此，AppCloud 却来自一家以色列创立的公司，而这家公司如今又属于一家美国集团。

3. 不透明的数据收集

SMEX 指出，AppCloud 在缺乏知情同意的情况下运行，收集敏感数据，却没有提供清晰的退出途径。这可能构成对该地区多个国家数据保护权利的侵犯。

因此，SMEX 在致三星的公开投诉信中，要求三星就 AppCloud 的情况作出说明，提供简便的 opt‑out 方式，并终止在 WANA 地区设备上强制预装这款软件。

AppCloud / AppCloud‑OOBE 与 Aura 的技术 IOC（入侵指标）

说明：
下面列出的哈希值和证书信息，针对的是官方签名版本的 AppCloud / Aura 以及相关组件（臃肿软件 / 广告技术组件）。

常见的杀毒引擎通常不会把它们归类为“传统意义上的恶意软件”，而是将其标记为预装广告或追踪软件，或“潜在有害软件（PUP/PUA）”。

在这里，我们将这些值列为“表明相关组件存在的入侵指标（Indicators of Compromise, IoC）”，而不是“病毒样本哈希”。

1. AppCloud / AppCloud‑OOBE 的文件哈希

1.1 AppCloud – 包名 com.ironsource.appcloud.oobe（Sprint / 通用 OOBE 版本）

以下哈希属于已知的、正式签名的 AppCloud‑OOBE 版本，例如在 APKMirror 上提供的 Sprint 设备版本。它们不是感染样本，而是参考值，可用于在你自己的 APK 集合或日志中识别 AppCloud 变种。

变种 1 – AppCloud 6.3.29.0（Android 7.0+，Sprint 版本）
来源：APKMirror，包名 com.ironsource.appcloud.oobe

SHA‑256：53f4cc60049251f5ad966d55f0e1eea799452fba8995a8b7319614f593570cfd

另外，APKMirror 还显示了 Sprint 证书签名（而非 ironSource 的签名）的指纹：

Cert SHA‑256：27f96dbab77b31f6953e4cd2c2defe15f5d7c78f073dd7162018ef476b097c34

变种 2 – AppCloud 3.8.8.4.3（较早的 Sprint 版本）
同样来源于 APKMirror，包名 com.ironsource.appcloud.oobe

SHA‑256：dcbbac7e05f332a6288f65934fc5f4ee189e41f0db89bcedb86f52cd16a0703f

这里使用的仍是同一个 Sprint 证书指纹。

如何理解：
这些哈希值非常适合用作参考，用来在自己的 APK 样本库或日志中搜索典型的 AppCloud‑OOBE 版本。
但需要注意，它们并非三星特有，而是典型的运营商 / OEM 版本。

1.2 AppCloud – 包名 com.aura.oobe.samsung.gl（三星版本）

在 WANA 语境下，尤其重要的是包名为 com.aura.oobe.samsung.gl 的三星版本。然而，目前并不存在一个稳定、公开维护的哈希列表来覆盖这些版本。

对于 WANA 地区固件中实际使用的 com.aura.oobe.samsung.gl 具体系统版本，目前尚无可信的公开 SHA‑256 哈希记录。因此，在进行 IoC 标记时，更可行的策略是侧重：

包名（com.aura.oobe.samsung.gl, com.aura.oobe.samsung），

证书指纹（见下文第 2 节），

网络层 IoC（见第 3 节），

而不是依赖单个文件哈希。

1.3 ironSource / AppCloud 生态系统中的其他哈希

在 AppCloud / Aura 生态系统中，还有一些变体是预装在其他厂商和运营商设备上的。它们并非三星 / WANA 版本本身，但明确属于同一生态系统，在做聚类分析等工作时非常有价值：

vrChannel 2.4.7.1 – 包名 com.ironsource.appcloud.store.lg.vr（LG / VR 版本）
来源：APKPure

文件 SHA‑1：4b77673f031749feaef5026dfd15025800aa650d

签名（证书 SHA‑1）：01d845b26b688d8ef647205a5944e9407e52e06e

Airtel Store, Uganda 1.5.1 – 包名 com.ironsource.appcloud.appstore.airtelug（运营商版本）
来源：APKPure

文件 SHA‑1：e4be20c769d0a89e3e477a3bf9221eddc85ee33f

签名（证书 SHA‑1）：7ff152f5eaca441d32542d3588bbe08b2a6bfc3b

如何理解：
这些哈希有助于你从整体上分析或归类整个 AppCloud / Aura 生态系统（例如用于遥测、聚类、威胁情报）。
但如果目标是专门检测三星 / WANA 版本，它们更像是“有则更好”的补充 IoC，而非必须依赖的核心指标。

2. ironSource / AppCloud 的证书指纹

只要厂商不更换签名证书，证书指纹通常比单个文件哈希更稳定。
对于使用 ironSource 证书签名的 AppCloud 版本，APKMirror 上可以看到如下信息：

组织（Organization, O）：ironSource Ltd.

Cert SHA‑256：04671dd36b2be531a6c1869422bb8944a76e646ac5824f864e530910c00b41c7

这个指纹会出现在如 6.3.17.3、8.1.11.0 等由 ironSource 直接签名的 AppCloud 版本中。

实际用途：
如果你在内部使用自动化工具分析 APK（如自建扫描器、CI/CD 流水线、固件审计），就可以把所有用该证书签名的应用标记为“ironSource / AppCloud 候选”——无需关心具体哈希值。
再结合包名和关联的网络域名，可以显著提升识别 AppCloud 生态系统中各个组件的效率。

3. 网络层 IoC（适用于 Suricata、pf、防火墙 / DNS 过滤等）

从基础设施角度看，网络指标往往比单个文件哈希更可靠：二进制文件每次更新都会变化，而后端域名则可能多年不变。

在 AppCloud / Aura 相关基础设施中，一些重要域名包括：

assetscdn.isappcloud.com
AppCloud 静态资源的 CDN。在多个沙箱报告和信誉数据库中被标记为“可疑 / 恶意”，原因之一是曾从该域名分发过被多数杀软“未检测到”的 EXE 文件。

persy.isappcloud.com
在对 com.aura.oobe.samsung.gl 的 ImmuniWeb 测试中，该域名被列为外部通信端点。

其他在运营商和社区线程中与 AppCloud 一起被提及的域名，例如：

• ape-androids2.isappcloud.com
• ape-eu.isappcloud.com
• ib.isappcloud.com
• user-profile.isappcloud.com

步骤详解：如何发现并清理 AppCloud

即便没有 root 权限，你也可以采取一些措施来识别并“削弱” AppCloud 的影响。下面是一个简明指南，参考了 SMEX、独立开发者和社区的实战教程。

1. 通过系统设置进行识别

在许多设备上，可以直接在系统设置中找到 AppCloud：

打开 “设置 → 应用”。

找到并启用 “显示系统应用” 等类似选项（如果有）。

搜索“AppCloud”，或者向下滚动应用列表，留意名称为 AppCloud、Aura 或带运营商品牌前缀的类似条目。

点进应用详情页，必要时记下包名（例如 com.aura.oobe.samsung）。

如果你发现该应用拥有大量权限、且无法像普通软件那样卸载，那么它极有可能就是本文提到的这类预装臃肿软件。

2. 禁用应用并限制数据传输

即使无法完全删除 AppCloud，也可以在一定程度上减少其危害：

打开 “设置 → 应用 → AppCloud”。

先点击 “强行停止（Force Stop）”，终止当前运行的进程。

如果系统允许，将其状态设置为 “停用 / 禁用”，避免它在前台运行。

在 Galaxy Store 或应用的详细设置中，查看是否可以关闭后台数据和自动安装应用。
很多用户反馈，这么做之后，设备上自动安装的垃圾应用数量显著减少。

注意： 在进行系统大版本更新后，建议再次检查 AppCloud 是否被重新启用。部分用户报告说，它会在升级后“死灰复燃”。

3. 使用 ADB 进行彻底移除（仅适合高级用户）

如果你对技术操作比较熟悉，并愿意承担一定风险，可以通过 Android Debug Bridge（ADB），将 AppCloud 从自己的用户账号中移除。

基本步骤如下：

在电脑上安装 Android Platform Tools（包含 adb）。

在手机上打开 开发者选项，并启用 USB 调试。

通过 USB 线连接手机与电脑，在手机上授权 ADB 调试。

在电脑的终端 / PowerShell 中执行类似下面的命令：

• adb shell pm uninstall -k --user 0 com.aura.oobe.samsung

此命令会将指定包从当前用户（--user 0）下卸载。

根据设备和地区不同，可能需要使用其它包名（参考前文的 IoC 部分）。

重要警告：
这一步仅推荐给高级用户。错误的 ADB 命令可能导致系统不稳定，甚至出现功能异常。某些情况下，厂商还可能以“擅自修改系统”为由，拒绝保修。
如果你没有把握，请务必先做好完整备份，并在充分了解风险和操作步骤之后，再自行决定是否执行。

使用 Anti Spy 与 Antivirus AI 进行技术防护

即使暂时无法彻底清除 AppCloud，也可以借助合适的工具，大幅提升设备对间谍软件、跟踪软件（stalkerware）和侵入式广告组件的防御能力。

Anti Spy：专注于监控与跟踪软件的防护

Anti Spy 是一款专门针对 Android 的反间谍软件。它通过独立测试机构 AV‑TEST 的检测，获得了非常高的 Android 恶意软件查杀率；同时，Anti Spy 也是首款、并且目前仍是唯一一款获得 DEKRA MASA L1 认证 的反间谍应用。

在日常使用中，这意味着：

Anti Spy 不仅依赖传统的特征码检测，还利用基于 AI 的双引擎扫描器来识别可疑行为，例如：
隐藏的间谍应用、跟踪软件，或在后台使用敏感权限的追踪组件。

即使是系统预装或厂商定制应用，只要表现出类似监控软件的行为，也同样会被纳入检测范围——不管它是否出现在桌面应用列表中。

隐私审计项目 Exodus Privacy 的最新分析显示，Anti Spy 的最近一个被分析版本（6.7.3）中，追踪器数量为 0。
这从独立第三方的角度佐证了：应用内部没有隐藏的广告或分析 SDK。

在 AppCloud / Aura 这类场景中，这一点尤为关键：即便某些应用以“系统组件”的身份被预装，Anti Spy 也能给出第二个、相对独立的判断，看它们是否在行为上接近间谍软件。

Antivirus AI：基于 AI 的恶意软件防护，重点覆盖 Adware 等威胁

Antivirus AI 与 Anti Spy 形成互补，更偏向于传统意义上的恶意软件防护——例如勒索软件、木马、以及行为激进的广告软件——但核心检测引擎由持续学习的人工智能驱动，检测规则（“AI Life Rules”）会动态更新。

在 AppCloud 语境下，有几项尤其值得注意：

Antivirus AI 多次通过 AV‑TEST 认证，在内部和外部测试中，恶意软件检测率都超过 99%，显著降低了威胁“漏网”的概率。

AI 引擎还会分析那些形式上并不被归类为“恶意软件”，却在网络访问或追踪行为上非常可疑的应用——也就是许多臃肿软件和广告技术组件所处的“灰色地带”。

根据 Exodus Privacy 的报告，Antivirus AI 早期版本（2.1.2）曾包含 1 个追踪器，而更新的被分析版本 2.2.2 已被列为追踪器 0 个。这表明开发商 Protectstar 正在主动减少追踪功能的使用。

将 Anti Spy 与 Antivirus AI 结合使用，可以构筑一个远超传统“杀毒软件”的保护层：
你可以看清设备上有哪些应用、它们在做什么，然后有针对性地清理那些可疑或有害的组件。

AppCloud 案例的启示：当“变现”压倒隐私

AppCloud 的案例，是一个典型示范：当商业变现被置于隐私之上时，会发生什么？
硬件厂商与广告技术公司在幕后达成合作，结果就是——你的手机上运行着你根本不知道存在的软件，而这些软件却拥有非常广泛的系统权限。

与此相对，Protectstar 刻意选择了另一条道路：

Android 应用 Anti Spy 和 Antivirus AI 的设计重点是保护用户，而不是收集数据。

来自 AV‑TEST 和 DEKRA 等独立实验室的认证，表明这些产品不仅有效，而且在透明度上也达到了较高标准。

尤其是 Exodus Privacy 的独立分析显示，Protectstar 在设计自家应用时，要么一开始就不嵌入隐藏追踪 SDK，要么会主动将其移除。

在那些本就因为政治和法律原因而被认为监控风险偏高的地区，这种以“透明和保护”为核心的模式，成为对抗“隐形臃肿软件”的重要替代方案。

结语：你的手机，你的数据

围绕 AppCloud 和 Aura 的这段故事，清楚地表明了：你的智能手机可以多么轻易地被变成画像、广告投放，甚至监控的工具——而这一切，很可能都发生在你从未明确同意的前提下。

参考资料与延伸阅读

1. SMEX – “Invasive Israeli-founded bloatware is harvesting data from Samsung users in WANA”
   URL: https://smex.org/invasive-israeli-software-is-harvesting-data-from-samsung-users-in-wana/
2. SMEX – “Open Letter to Samsung: End Forced Israeli-Founded Bloatware Installations in the WANA Region”
   URL: https://smex.org/open-letter-to-samsung-end-forced-israeli-app-installations-in-the-wana-region/
3. Al-Estiklal – “Samsung’s ‘Aura’: Israeli Spyware in Your Pocket”
   URL: https://www.alestiklal.net/en/article/samsung-s-aura-israeli-spyware-in-your-pocket
4. Athul Krishnan（Medium）– “Bloatware and Samsung, How to get rid of them for good”
   URL: https://athul-kris.medium.com/bloatware-and-samsung-how-to-get-rid-of-them-for-good-775a44c73752
5. TechFinitive – “What is App Cloud? How do I delete it?”
   URL: https://www.techfinitive.com/explainers/what-is-app-cloud-delete/
6. Protectstar – 产品页 “Anti Spy Android: Anti Spyware Scanner”
   URL: https://www.protectstar.com/en/products/anti-spy
7. Protectstar – 产品页 “Antivirus AI for Android”
   URL: https://www.protectstar.com/en/products/antivirus-ai
8. Protectstar 博客 – “Anti Spy: World’s First Antispyware App with Dual Certification”（AV‑TEST & DEKRA）
   URL: https://www.protectstar.com/en/blog/anti-spy-worlds-first-antispyware-app-dual-certification
9. Protectstar 博客 – “Protectstar Antivirus AI Android Celebrates Its Third AV-TEST Triumph”
   URL: https://www.protectstar.com/en/blog/protectstar-antivirus-ai-android-celebrates-its-third-av-test-triumph
10. AV‑TEST – Protectstar Anti Spyware 6.0（Android）产品评测
    URL（EN）: https://www.av-test.org/en/antivirus/mobile-devices/android/january-2024/protectstar-anti-spyware-6.0-243113/
11. AV‑TEST – Protectstar Antivirus AI 2.1（Android）产品评测
    URL（DE）: https://www.av-test.org/de/antivirus/mobilgeraete/android/mai-2024/protectstar-antivirus-ai-2.1-243312/
12. Exodus Privacy – “com.protectstar.antispy.android”（Anti Spy, 版本 6.7.3）报告
    URL: https://reports.exodus-privacy.eu.org/en/reports/664531/
13. Exodus Privacy – “com.protectstar.antivirus”（Antivirus AI, 版本 2.2.2）报告
    URL: https://reports.exodus-privacy.eu.org/it/reports/623115/
14. Exodus Privacy – 项目主页（通用信息与应用检测）
    URL: https://exodus-privacy.eu.org/en/