IT之家 11 月 12 日(ri)消息，火绒安全 11 月 11 日(ri)发文(wen)，称“撕(si)开(kai)鲁大师(shi)为首系列企业流(liu)量劫持黑幕”。

火绒安全实验室监测发现，包含成都奇鲁科技有限公司、天津杏仁桉科技有限公司在(zai)内的多家软(ruan)件厂(chang)商，正通过云(yun)控配置(zhi)方式构建大规模(mo)推广产业链，远程(cheng)开启推广模(mo)块以实现流量(liang)变现。

火绒安全称，这些厂商通过云端下达配置指令，动态控制软件的推广行为，不同公司及其产品的推广方式各有差异。以成都奇鲁科技旗下的鲁大师为例，其推广行为涵盖但不限于：

• 利(li)用浏览器(qi)弹窗推广“传奇”类(lei)页游

• 在未获用户明确许(xu)可的情况下(xia)弹(dan)窗安装第三(san)方(fang)软件

• 篡改京东网页链接(jie)并(bing)插(cha)入京粉推广参数以获取佣金

• 弹出带有渠道标识的百度(du)搜(sou)索框(kuang)

• 植入具有推广性(xing)质且伪(wei)装(zhuang)为正常应用的浏览器扩展程序等

火绒安全表示，尽管流量推广向来是互联网公司常用的盈利模式，然而这些厂商却运用了多种技术对抗手段，以阻碍安全分析与行为复现，蓄意隐匿其损害用户体验的行为。它们在未充分向用户告知或故意模糊告知相关情况的前提下，利用用户流量进行变现操作。通过伪装成正规应(ying)用(yong)(yong)的方式，与(yu)用(yong)(yong)户“捉(zhuo)迷(mi)藏”，使用(yong)(yong)户难以识别并(bing)定位真(zhen)正的推广源头。这些主体采用(yong)(yong)各种手(shou)段规避网络舆论监督，逃避公众审(shen)查(cha)。

火绒安全还称，数十余家不同时间、不同地区注册的公司通过隐蔽的关联关系相互连接，利用隐藏的结算体系进行利益输送，并通过极其相似的云控模块向用户终端推送各类推广产品。为(wei)了逃避(bi)监(jian)管和技术(shu)追踪，这些公司采用了数据(ju)加密、代(dai)码(ma)混淆、动态(tai)加载(zai)、多(duo)层跳转等多(duo)种技术(shu)对抗手段。

根据火绒(rong)安(an)全(quan)情报中心的统计数据，大(da)量(liang)软件包含本文(wen)所述(shu)的推广(guang)模块(kuai)。下图中列表列出的软件被发(fa)现(xian)与本次威胁具有较强相关性（包括但不限于）：

IT之家在文章中注意到，火绒安全表示多数软件中的推广模块及 Lua 推广脚本会检测浏览器历史记录，以规避特定人群。系统会匹配历史记录中的页面标题，检测是否包含“劫持”、“捆绑”、“流氓软件”、“自动打开”等关键词，一旦发现则停止向该用户推广(guang)，以规避曾搜索过(guo)此类内(nei)容的用户。

火绒安全还称，在劫持浏览器的过程中，会对用户是否访问过周鸿祎的微博进行检测，若检测结果为已访问，则不会进行推广。

广告声(sheng)明：文(wen)内含(han)有(you)的(de)对外(wai)跳转(zhuan)链接(jie)（包(bao)括不限于超(chao)链接(jie)、二维(wei)码、口(kou)令等形式），用于传(chuan)递更多信息(xi)，节省甄选(xuan)时间，结果仅供(gong)参考，IT之家所(suo)有(you)文(wen)章均(jun)包(bao)含(han)本声(sheng)明。