國(guó)內(nèi)知名“安全軟件”被曝“流量劫持”，360竟成最大贏家？

說(shuō)起來(lái)有些悲傷，從初代互聯(lián)網(wǎng)時(shí)期走過(guò)來(lái)的朋友們，應(yīng)該都有過(guò)被各種軟件管家“制裁”的經(jīng)歷。

直到去年，還能看到有媒體正面報(bào)道有網(wǎng)友為自己關(guān)不掉的彈窗廣告崩潰。

什么“多達(dá)50多項(xiàng)的彈窗廣告設(shè)置”，“只能暫時(shí)關(guān)閉但無(wú)法徹底關(guān)閉的關(guān)閉選項(xiàng)”，都挺讓人忍俊不禁的。

如果在安裝或者卸載軟件的時(shí)候，業(yè)務(wù)不熟練，很可能還會(huì)一不小心觸發(fā)“支線任務(wù)”，下載全家福大禮包。

最搞笑的是，如果你想徹底卸載軟件，還必須在卸載界面的角落里，找到那個(gè)灰色的“忍痛卸載”。

本來(lái)我以為，上述已經(jīng)是這些安全衛(wèi)士的上限了——

無(wú)非就是擠占你的內(nèi)存，遠(yuǎn)程給你安排點(diǎn)流氓軟件，時(shí)不時(shí)再給你來(lái)點(diǎn)彈窗廣告，賺點(diǎn)廣告費(fèi)這樣子。

結(jié)果就在前兩天，火絨突然跟魯大師爆了，吐了一大堆“行業(yè)內(nèi)幕”出來(lái)：

指控魯大師為首系列企業(yè)遠(yuǎn)程控制用戶電腦利用用戶流量進(jìn)行變現(xiàn)。

火絨安全 11 月 11 日發(fā)文，稱“撕開(kāi)魯大師為首系列企業(yè)流量劫持黑幕”。

火絨安全實(shí)驗(yàn)室監(jiān)測(cè)發(fā)現(xiàn)，包含成都奇魯科技有限公司、天津杏仁桉科技有限公司在內(nèi)的多家軟件廠商，正通過(guò)云控配置方式構(gòu)建大規(guī)模推廣產(chǎn)業(yè)鏈，遠(yuǎn)程開(kāi)啟推廣模塊以實(shí)現(xiàn)流量變現(xiàn)。

簡(jiǎn)單來(lái)說(shuō)就是同云端遠(yuǎn)程下達(dá)指令，控制軟件進(jìn)行推廣。

根據(jù)火絨安全的說(shuō)法，以魯大師為例，其推廣行為涵蓋但不限于：

1、彈窗廣告轟炸：利用瀏覽器彈窗推廣“傳奇”類(lèi)頁(yè)游

2、靜默安裝軟件：在未獲用戶明確許可的情況下彈窗安裝第三方軟件

3、篡改購(gòu)物鏈接：當(dāng)你訪問(wèn)京東時(shí)，自動(dòng)在鏈接中插入"京粉推廣參數(shù)"，這樣你下單后，涉事企業(yè)就能賺取傭金，而你對(duì)此毫不知情。

4、植入偽裝插件：將推廣插件偽裝成"日歷助手"、"記事工具"等正常應(yīng)用，悄悄植入瀏覽器，難以被用戶察覺(jué)。

本來(lái)這種軟件賺點(diǎn)廣告費(fèi)的盈利模式，大家都已經(jīng)默認(rèn)了，但火絨表示，這些應(yīng)用還會(huì)和用戶“捉迷藏”，通過(guò)一些神奇的行為檢測(cè)來(lái)進(jìn)行“動(dòng)態(tài)推廣”。

其會(huì)根據(jù)用戶的地理位置、是否安裝了殺毒軟件，甚至是不是技術(shù)相關(guān)人員來(lái)區(qū)別對(duì)待。

比如，如果檢測(cè)到用戶的 IP 地址在北京，或者電腦上有分析工具，就可能減少甚至停止推廣彈窗。避開(kāi)一些銘感區(qū)域和專業(yè)人士，挑相對(duì)而言比較安全的“小白”用戶下手。

還會(huì)檢測(cè)用戶的瀏覽器歷史記錄，如果發(fā)現(xiàn)用戶搜過(guò)“劫持”、“捆綁”、“流氓軟件”、“自動(dòng)打開(kāi)”等關(guān)鍵詞，或者訪問(wèn)過(guò)相關(guān)的投訴平臺(tái)，也會(huì)停止向該用戶推廣，避免被敏感用戶察覺(jué)。

更搞笑的是，火絨安全還稱，在劫持瀏覽器的過(guò)程中，魯大師會(huì)對(duì)用戶是否訪問(wèn)過(guò)周鴻祎的微博進(jìn)行檢測(cè)，若檢測(cè)結(jié)果為已訪問(wèn)，則不會(huì)進(jìn)行推廣。

36：連夜瀏覽周總微博十遍！

總的來(lái)說(shuō)，北京IP的不推廣、訪問(wèn)過(guò)12315等網(wǎng)站的不推廣、懷疑是技術(shù)、安全人員的不推廣、充會(huì)員的用戶減少推廣……

這推薦機(jī)制就還挺靈活的說(shuō)是。

而且這些軟件為了降低你的防線，以及增加安全分析難度，通常不會(huì)在你安裝后馬上開(kāi)始工作，而是會(huì)等待7天后才啟動(dòng)，每次推廣后還有180天冷卻期。

如果火絨曝光屬實(shí)，那就意味著廠商大概是運(yùn)用了不少技術(shù)對(duì)抗手段，畢竟要對(duì)抗監(jiān)管和技術(shù)追蹤，數(shù)據(jù)加密、代碼混淆、多層跳轉(zhuǎn)啥的應(yīng)該是少不了。

火絨安全還稱，這些并非魯大師一家的行為，而是一個(gè)龐大的利益網(wǎng)絡(luò)——

數(shù)十余家不同時(shí)間、不同地區(qū)注冊(cè)的公司通過(guò)隱蔽的關(guān)聯(lián)關(guān)系相互連接，利用隱藏的結(jié)算體系進(jìn)行利益輸送，并通過(guò)極其相似的云控模塊向用戶終端推送各類(lèi)推廣產(chǎn)品。

火絨給了一份名單，是被發(fā)現(xiàn)與本次威脅具有較強(qiáng)相關(guān)性的軟件和企業(yè)（包括但不限于）：

據(jù)企查查顯示，成都奇魯科技有限公司（魯大師母公司）的第一大股東為360科技，持股比例41.67%，田野（魯大師CEO）持28.12%。

2025年中期，魯大師收入5.23億元，同比下降29.6%，而魯大師的營(yíng)收中，廣告及推廣業(yè)務(wù)占營(yíng)收比例高達(dá)98%，2023年魯大師曾推出過(guò)尊享版，試圖通過(guò)會(huì)員訂閱模式優(yōu)化營(yíng)收結(jié)構(gòu)，但效果有限。

360有著和魯大師相同的困境，互聯(lián)網(wǎng)廣告及服務(wù)業(yè)務(wù)仍是主要收入來(lái)源，2025年上半年貢獻(xiàn)21億元營(yíng)收，受行業(yè)整體下滑影響，增速也明顯放緩。

其安全業(yè)務(wù)毛利高達(dá)55.55%，但主要針對(duì)的To B業(yè)務(wù)收入占比不高。今年360反而通過(guò)AI業(yè)務(wù)拓展增加了不少收入，打通了新的增長(zhǎng)曲線。

相對(duì)來(lái)說(shuō)，魯大師這類(lèi)中小企業(yè)在變現(xiàn)上的手段更少，面對(duì)行業(yè)整體下滑的抗風(fēng)險(xiǎn)性不高，也就能解釋這些軟件為什么絞盡腦汁也要采用各種手段小心謹(jǐn)慎的“劫持流量”了。

不過(guò)當(dāng)下隨著操作系統(tǒng)和PC廠商自身的數(shù)據(jù)安全越做越好，防病毒類(lèi)的軟件安全工具需求場(chǎng)景確實(shí)少了很多。

黑馬感覺(jué)，這次事件反而可能推動(dòng)用戶對(duì)于"防騷擾、保隱私、護(hù)體驗(yàn)"類(lèi)安全軟件的需求。

火絨：我嗎？

不過(guò)在此之間，我們最好先養(yǎng)成軟件都去官網(wǎng)下載，安裝的時(shí)候注意不要勾選到捆綁安裝的好習(xí)慣。

資料來(lái)源：

1、火絨安全：“捉迷藏”式收割:撕開(kāi)魯大師為首系列企業(yè)流量劫持黑幕!

2、IT之家：火絨“開(kāi)撕”魯大師，怒揭流量劫持黑幕

3、魯大師2025年中期報(bào)告

撰文：柯然

編輯：Lena