火绒披露鲁大师等软件涉流量劫持与隐蔽推广网络
火绒安全实验室11月11日发布长篇报告,披露了以成都奇鲁科技有限公司(鲁大师母公司)与天津杏仁桉科技有限公司为核心的隐蔽推广网络,指其通过“云控配置”技术操控终端行为,远程开启推广模块,以浏览器劫持、弹窗安装、参数注入等方式进行大规模流量变现。
报告显示,这些厂商形成了一个横跨多地、层层隐蔽的推广产业网。通过数据加密、代码混淆、动态加载、多层跳转等技术对抗手段,它们试图规避安全检测和监管追踪。火绒在技术分析中发现,鲁大师、小鸟壁纸、DXRepair等多款软件均嵌入了类似的推广模块。
火绒在公开情报、天眼查数据及外网日志分析中发现,多家公司虽在工商层面无直接关系,却通过邮箱系统、域名绑定与自动构建平台共享资源。例如,杏仁桉后台仅允许“@ludashi.com”邮箱注册,关联鲁大师体系;相关域名服务器下还托管有多款带推广模块的软件。报告认为,这表明各企业在推广链条上存在稳定的技术协作与利益输送。
在推广执行层面,火绒指出,这些模块具备针对性极强的“云控”策略:可根据地区、渠道、用户环境动态调整行为。对北京等重点地区、会员用户或技术分析人员会自动停用推广,对普通用户则投放游戏页游、百度搜索框、第三方软件安装等内容。系统甚至会检测杀毒软件、浏览器历史记录、虚拟机环境和开发工具,以规避检测与舆论曝光。
技术分析部分揭示了复杂的规避逻辑:推广模块利用BlowFish+Base64加密传输配置,检测用户浏览记录是否涉及“劫持”“流氓软件”等关键词后再决定是否投放广告;同时可识别是否访问过周鸿祎微博等页面,以避免触发关注。部分模块还具备延迟推广与冷却期机制,安装后7天才执行推广,并设置180天间隔以降低暴露风险。
报告指出,鲁大师及其关联软件的推广方式包括:静默篡改京东与百度链接获取佣金、安装带推广脚本的浏览器插件、弹出虚假关闭按钮诱导安装软件、闪烁任务栏图标引导点击“传奇”页游,以及锁定浏览器主页、推广自身小工具等多种形式。火绒称,这些行为在技术上具有“精准、隐蔽、可控”的特征,极大损害用户体验与网络生态。
目前,火绒安全软件已实现对相关云控推广模块的识别、拦截和查杀。火绒建议用户更新至最新版本并执行全盘扫描,以防止设备被卷入流量劫持与恶意推广体系。同时,火绒表示将持续追踪此类行为,推动网络安全环境的透明与规范。
来源:火绒安全实验室《“捉迷藏”式收割:撕开鲁大师为首系列企业流量劫持黑幕!》(2025年11月11日)
火绒安全实验室11月11日发布长篇报告,披露了以成都奇鲁科技有限公司(鲁大师母公司)与天津杏仁桉科技有限公司为核心的隐蔽推广网络,指其通过“云控配置”技术操控终端行为,远程开启推广模块,以浏览器劫持、弹窗安装、参数注入等方式进行大规模流量变现。
报告显示,这些厂商形成了一个横跨多地、层层隐蔽的推广产业网。通过数据加密、代码混淆、动态加载、多层跳转等技术对抗手段,它们试图规避安全检测和监管追踪。火绒在技术分析中发现,鲁大师、小鸟壁纸、DXRepair等多款软件均嵌入了类似的推广模块。
火绒在公开情报、天眼查数据及外网日志分析中发现,多家公司虽在工商层面无直接关系,却通过邮箱系统、域名绑定与自动构建平台共享资源。例如,杏仁桉后台仅允许“@ludashi.com”邮箱注册,关联鲁大师体系;相关域名服务器下还托管有多款带推广模块的软件。报告认为,这表明各企业在推广链条上存在稳定的技术协作与利益输送。
在推广执行层面,火绒指出,这些模块具备针对性极强的“云控”策略:可根据地区、渠道、用户环境动态调整行为。对北京等重点地区、会员用户或技术分析人员会自动停用推广,对普通用户则投放游戏页游、百度搜索框、第三方软件安装等内容。系统甚至会检测杀毒软件、浏览器历史记录、虚拟机环境和开发工具,以规避检测与舆论曝光。
技术分析部分揭示了复杂的规避逻辑:推广模块利用BlowFish+Base64加密传输配置,检测用户浏览记录是否涉及“劫持”“流氓软件”等关键词后再决定是否投放广告;同时可识别是否访问过周鸿祎微博等页面,以避免触发关注。部分模块还具备延迟推广与冷却期机制,安装后7天才执行推广,并设置180天间隔以降低暴露风险。
报告指出,鲁大师及其关联软件的推广方式包括:静默篡改京东与百度链接获取佣金、安装带推广脚本的浏览器插件、弹出虚假关闭按钮诱导安装软件、闪烁任务栏图标引导点击“传奇”页游,以及锁定浏览器主页、推广自身小工具等多种形式。火绒称,这些行为在技术上具有“精准、隐蔽、可控”的特征,极大损害用户体验与网络生态。
目前,火绒安全软件已实现对相关云控推广模块的识别、拦截和查杀。火绒建议用户更新至最新版本并执行全盘扫描,以防止设备被卷入流量劫持与恶意推广体系。同时,火绒表示将持续追踪此类行为,推动网络安全环境的透明与规范。
来源:火绒安全实验室《“捉迷藏”式收割:撕开鲁大师为首系列企业流量劫持黑幕!》(2025年11月11日)
