火絨“開(kāi)撕”魯大師，揭露其流量劫持黑幕

火絨安全近日發(fā)文，直言“撕開(kāi)魯大師為首系列企業(yè)流量劫持黑幕”。

火絨安全實(shí)驗(yàn)室監(jiān)測(cè)發(fā)現(xiàn)，包含成都奇魯科技有限公司、天津杏仁桉科技有限公司在內(nèi)的多家軟件廠商，正通過(guò)云控配置方式構(gòu)建大規(guī)模推廣產(chǎn)業(yè)鏈，遠(yuǎn)程開(kāi)啟推廣模塊以實(shí)現(xiàn)流量變現(xiàn)。

火絨安全稱，這些廠商通過(guò)云端下達(dá)配置指令，動(dòng)態(tài)控制軟件的推廣行為，不同公司及其產(chǎn)品的推廣方式各有差異。以成都奇魯科技旗下的魯大師為例，其推廣行為涵蓋但不限于：

• 利用瀏覽器彈窗推廣“傳奇”類頁(yè)游

• 在未獲用戶明確許可的情況下彈窗安裝第三方軟件

• 篡改京東網(wǎng)頁(yè)鏈接并插入京粉推廣參數(shù)以獲取傭金

• 彈出帶有渠道標(biāo)識(shí)的百度搜索框

• 植入具有推廣性質(zhì)且偽裝為正常應(yīng)用的瀏覽器擴(kuò)展程序等

火絨安全表示，盡管流推廣向來(lái)是互聯(lián)網(wǎng)公司常用的盈利模式，然而這些廠商卻運(yùn)用了多種技術(shù)對(duì)抗手段，以阻礙安全分析與行為復(fù)現(xiàn)，蓄意隱匿其損害用戶體驗(yàn)的行為。

它們?cè)谖闯浞窒蛴脩舾嬷蚬室饽：嬷嚓P(guān)情況的前提下，利用用戶流量進(jìn)行變現(xiàn)操作。通過(guò)偽裝成正規(guī)應(yīng)用的方式，與用戶“捉迷藏”，使用戶難以識(shí)別并定位真正的推廣源頭。這些主體采用各種手段規(guī)避網(wǎng)絡(luò)輿論監(jiān)督，逃避公眾審查。

火絨安全還稱，數(shù)十余家不同時(shí)間、不同地區(qū)注冊(cè)的公司通過(guò)隱蔽的關(guān)聯(lián)關(guān)系相互連接，利用隱藏的結(jié)算體系進(jìn)行利益輸送，并通過(guò)極其相似的云控模塊向用戶終端推送各類推廣產(chǎn)品。為了逃避監(jiān)管和技術(shù)追蹤，這些公司采用了數(shù)據(jù)加密、代碼混淆、動(dòng)態(tài)加載、多層跳轉(zhuǎn)等多種技術(shù)對(duì)抗手段。

根據(jù)火絨安全情報(bào)中心的統(tǒng)計(jì)數(shù)據(jù)，大量軟件包含本文所述的推廣模塊。下圖中列表列出的軟件被發(fā)現(xiàn)與本次威脅具有較強(qiáng)相關(guān)性（包括但不限于）：

火絨安全表示多數(shù)軟件中的推廣模塊及 Lua 推廣腳本會(huì)檢測(cè)瀏覽器歷史記錄，以規(guī)避特定人群。系統(tǒng)會(huì)匹配歷史記錄中的頁(yè)面標(biāo)題，檢測(cè)是否包含“劫持”、“捆綁”、“流氓軟件”、“自動(dòng)打開(kāi)”等關(guān)鍵詞，一旦發(fā)現(xiàn)則停止向該用戶推廣，以規(guī)避曾搜索過(guò)此類內(nèi)容的用戶。

更多細(xì)節(jié)請(qǐng)查看原文：

最后推薦一波年度開(kāi)源項(xiàng)目評(píng)選活動(dòng)

只要你的項(xiàng)目托管于 Gitee 且 Star 數(shù)量 ≥ 100，該項(xiàng)目就有資格報(bào)名參加評(píng)選，每名用戶不限制參加評(píng)選倉(cāng)庫(kù)的數(shù)量。

立即參與評(píng)選或投票：

https://gitee.com/activity/2025opensource