“捉迷藏”式收割:火绒撕开鲁大师为首系列企业流量劫持黑幕!
近期,火绒安全实验室监测发现,包含成都奇鲁科技有限公司、天津杏仁桉科技有限公司在内的多家软件厂商,正通过云控配置方式构建大规模推广产业链,远程开启推广模块以实现流量变现。这些厂商通过云端下达配置指令,动态控制软件的推广行为,不同公司及其产品的推广方式各有差异。
它们在未充分向用户告知或故意模糊告知相关情况的前提下,利用用户流量进行变现操作。通过伪装成正规应用的方式,与用户“捉迷藏”,使用户难以识别并定位真正的推广源头。这些主体采用各种手段规避网络舆论监督,逃避公众审查。
云控配置包含大量推广相关参数。通过测试发现,非北京IP与北京IP获取到的配置存在显著差异,通常非北京IP会收到更多的推广配置;
一般情况下,其他公司的官网渠道代号为"home",鲁大师的官网渠道代号为"ludashi"。经过多次测试发现,通过官网渠道下载的软件在推广行为上会有所收敛:减少或不下发推广相关的云控配置,又或者在安装包中减少或移除推广模块。
若用户是安全相关技术人员(运行了某些反编译软件)或访问过投诉类网址,会选择不推广
https://www.huorong.cn/document/tech/vir_report/1858
近期,火绒安全实验室监测发现,包含成都奇鲁科技有限公司、天津杏仁桉科技有限公司在内的多家软件厂商,正通过云控配置方式构建大规模推广产业链,远程开启推广模块以实现流量变现。这些厂商通过云端下达配置指令,动态控制软件的推广行为,不同公司及其产品的推广方式各有差异。
它们在未充分向用户告知或故意模糊告知相关情况的前提下,利用用户流量进行变现操作。通过伪装成正规应用的方式,与用户“捉迷藏”,使用户难以识别并定位真正的推广源头。这些主体采用各种手段规避网络舆论监督,逃避公众审查。
云控配置包含大量推广相关参数。通过测试发现,非北京IP与北京IP获取到的配置存在显著差异,通常非北京IP会收到更多的推广配置;
一般情况下,其他公司的官网渠道代号为"home",鲁大师的官网渠道代号为"ludashi"。经过多次测试发现,通过官网渠道下载的软件在推广行为上会有所收敛:减少或不下发推广相关的云控配置,又或者在安装包中减少或移除推广模块。
若用户是安全相关技术人员(运行了某些反编译软件)或访问过投诉类网址,会选择不推广
值得注意的是,在劫持浏览器的过程中,会对用户是否访问过周鸿祎的微博进行检测,若检测结果为已访问,则不会进行推广。
https://www.huorong.cn/document/tech/vir_report/1858
