11月12日,火绒安全实验室发布监测报告称,发现包括成都奇鲁科技有限公司、天津杏仁桉科技有限公司在内的多家软件厂商,正通过云控方式大规模构建推广产业链,远程开启流量变现模块以实现商业化盈利。
报告指出,这些厂商通过云端下达配置指令,动态控制软件的推广行为。不同公司及其产品的推广方式各有特点:以成都奇鲁科技旗下的鲁大师为例,其推广手段包括但不限于以下形式:
利用浏览器弹窗推广"传奇"类页游
在未获用户明确授权情况下静默安装第三方软件
火绒安全专家表示,虽然流量推广本是互联网公司常见的盈利模式,但这些厂商却运用了多种技术对抗手段,刻意阻碍安全分析与行为复现,蓄意隐匿其损害用户体验的行为轨迹。
这些主体在未充分告知用户或故意模糊相关条款的前提下,利用用户流量进行变现操作。通过伪装成正规应用的方式与用户"捉迷藏",使普通用户难以识别真正的推广来源。为规避网络舆论监督,相关机构还采用多重技术手段逃避公众审查。
监测数据显示,数十家不同时间、不同地区注册的公司通过隐蔽的关联关系相互串联,利用隐藏的结算体系进行利益输送,并通过高度相似的云控模块向用户终端推送各类推广产品。为规避监管和技术追踪,这些公司采用了数据加密、代码混淆、动态加载、多层跳转等多重对抗技术。
根据火绒安全情报中心的统计,大量软件包含本文所述的推广模块。下图所列软件经检测与本次威胁具有较强关联性(包含但不限于):
火绒安全团队进一步发现,多数软件中的推广模块及Lua推广脚本会检测浏览器历史记录,以规避特定人群。系统会匹配历史记录中的页面标题,检测是否包含"劫持"、"捆绑"、"流氓软件"、"自动打开"等关键词,一旦发现即停止向该用户推广,从而规避曾经搜索过此类内容的用户群体。
报告还透露,在劫持浏览器的过程中,系统会检测用户是否访问过周鸿祎的微博页面,若检测结果为已访问,则不会进行推广。
