近日，火绒安全实验室发布题为《“捉迷藏式收割”：撕开鲁大师为首系列企业流量劫持黑幕》的专项报告。

报告指出，包括成都奇鲁科技有限公司（鲁大师运营方）在内的多家厂商，通过云控配置构建大规模推广产业链，利用隐蔽手段劫持用户流量、静默安装软体，并实施了极具针对性的“反侦察”策略。昔日的系统工具软件如今成为流量劫持，恶意推广的最大帮凶，网民批评“电脑程式竟成提款机”。

据火绒报告显示，这些厂商利用普遍的上网常态加大推广力度，通过云端下达配置指令，动态控制软体的推广行为。以鲁大师为例，其推广行为包括但不限于：利用流览器弹窗推广“传奇”类页游、在未获明确许可下弹窗安装第三方软体、篡改京东网页链接插入推广参数以获取佣金、以及弹出带有管道标识的百度搜索框等。

捉迷藏式投放广告

为了规避监管和技术分析，相关软体采用了复杂的“捉迷藏”策略。报告详细披露了这些软体的规避手段，包括地域规避，即软体会根据用户IP所在地投放配置。测试显示，针对北京地区的用户，软体会减少或完全不下发推广相关的云控配置，而其他地区则会接收到大量推广内容 。

第二，推广模组会检测用户电脑中是否安装了Fiddler、IDA、Visual Studio等技术分析或开发工具，一旦发现，便停止推广，以防备技术人员的分析。同时，如果检测到用户是鲁大师尊享版或其他关联软体的付费会员，也会停止骚扰。

第三，软体甚至会扫描用户的流览器历史记录。如果发现用户近期访问过“12315投诉平台”、“黑猫投诉”或搜索过“流氓软体”、“劫持”等关键字，以及部份容易引发舆论的平台，如微博和知乎，系统将判定该用户具有高投诉风险，从而停止推广。

最引人关注的细节是，火绒在分析中发现，鲁大师的推广模组中存在一条特殊的检测逻辑：在劫持流览器的过程中，系统会检测用户是否访问过鲁大师背后公司360集团创始人周鸿祎的微博。若检测结果为“已访问”，则不会进行推广。

360鲁大师控股有限公司2024年年度报告显示，鲁大师的2024年财报，“线上广告及推广服务”收入为5.31亿元，占总收入的40.35%，同比增长157.3%，成为公司收入增长的主要驱动力。运营独家许可线上游戏业务：收入为7.54亿元，占总收入的57.36%，同比增长51.6%。

值得注意的是，就在火绒报告发布的11月11日当天，鲁大师软体连续推送了两个版本更新，更新说明仅模糊地提到了“修复已知bug”和“提升用户体验”，未提及是否针对报告指出的流量劫持问题进行了整改。截止至发稿当日，鲁大师方面尚未就火绒安全报告中的具体指控作出公开回应。

报告链接：“捉迷藏”式收割：撕开鲁大师为首系列企业流量劫持黑幕！