近日,火绒安全实验室发布题为《" 捉迷藏 " 式收割:撕开鲁大师为首系列企业流量劫持黑幕》的专项报告。报告指出,包括成都奇鲁科技有限公司(鲁大师运营方)在内的多家厂商,通过云控配置构建大规模推广产业链,利用隐蔽手段劫持用户流量、静默安装软件,并实施了极具针对性的 " 反侦察 " 策略。
报告中公布的与本次威胁情报强相关的软件
据火绒报告显示,这些厂商利用普遍的上网常态加大推广力度,通过云端下达配置指令,动态控制软件的推广行为。以鲁大师为例,其推广行为包括但不限于:利用浏览器弹窗推广 " 传奇 " 类页游、在未获明确许可下弹窗安装第三方软件、篡改京东网页链接插入推广参数以获取佣金、以及弹出带有渠道标识的百度搜索框等。
报告中公布的多种推广方式
为了规避监管和技术分析,相关软件采用了复杂的 " 捉迷藏 " 策略。报告详细披露了这些软件的规避手段:
1. 地域规避:软件会根据用户 IP 所在地投放配置。测试显示,针对北京地区的用户,软件会减少或完全不下发推广相关的云控配置,而其他地区(如太原)则会接收到大量推广内容 。
2. 人群画像规避:推广模块会检测用户电脑中是否安装了 Fiddler、IDA、Visual Studio 等技术分析或开发工具,一旦发现,便停止推广,以防备技术人员的分析。同时,如果检测到用户是 " 鲁大师尊享版 " 或其他关联软件的付费会员,也会停止骚扰。
3. 历史记录检测:软件甚至会扫描用户的浏览器历史记录。如果发现用户近期访问过 "12315 投诉平台 "、" 黑猫投诉 " 或搜索过 " 流氓软件 "、" 劫持 " 等关键词,系统将判定该用户具有高投诉风险,从而停止推广。
报告中公布的规避手段表
最引人关注的细节是,火绒在分析中发现,鲁大师的推广模块中存在一条特殊的检测逻辑:在劫持浏览器的过程中,系统会检测用户是否访问过 360 创始人周鸿祎的微博。若检测结果为 " 已访问 ",则不会进行推广。
报告中公布的软件需规避的标题或链接(其中包含周鸿祎的微博链接)
这一细节引发了网友热议,有评论调侃称:" 没想到周鸿祎还怕被人骂,仔细一想原来是怕用户去微博骂老板 "。天眼查数据显示,鲁大师(成都奇鲁科技有限公司)与 360 系公司在历史上存在复杂的股权和业务关联。
值得注意的是,就在火绒报告发布的 11 月 11 日当天,鲁大师软件连续推送了两个版本更新,更新说明仅模糊地提到了 " 修复已知 bug" 和 " 提升用户体验 ",未提及是否针对报告指出的流量劫持问题进行了整改。
截止发稿,鲁大师方面尚未就火绒安全报告中的具体指控作出公开回应。
见习记者 马斌
校对 朱亚萍
