当前，网络已成为工作、学习、消费、社交等各类日常活动的重要支撑，部分厂商依托这一普遍的上网常态加大推广力度，因此用户需提高警惕，防范各类隐蔽的流量劫持及恶意推广行为。

近期，火绒安全实验室监测发现，包含成都某鲁公司、天津某科技公司在内的多家软件厂商，正通过云控配置方式构建大规模推广产业链，远程开启推广模块以实现流量变现。这些厂商通过云端下达配置指令，动态控制软件的推广行为，不同公司及其产品的推广方式各有差异。以成都某科技旗下的某大师为例，其推广行为涵盖但不限于：利用浏览器弹窗推广"传奇"类页游、在未获用户明确许可的情况下弹窗安装第三方软件、篡改京东网页链接并插入京粉推广参数以获取佣金、弹出带有渠道标识的百度搜索框、植入具有推广性质且伪装为正常应用的浏览器扩展程序等。

尽管流量推广向来是互联网公司常用的盈利模式，然而这些厂商却运用了多种技术对抗手段，以阻碍安全分析与行为复现，蓄意隐匿其损害用户体验的行为。

它们在未充分向用户告知或故意模糊告知相关情况的前提下，利用用户流量进行变现操作。通过伪装成正规应用的方式，与用户“捉迷藏”，使用户难以识别并定位真正的推广源头。这些主体采用各种手段规避网络舆论监督，逃避公众审查。

溯源信息

01

产业推广网的形成

在对其恶意行为进行监控分析的过程中，一张由幕后人员精心编织的产业网络逐渐浮出水面。数十余家不同时间、不同地区注册的公司通过隐蔽的关联关系相互连接，利用隐藏的结算体系进行利益输送，并通过极其相似的云控模块向用户终端推送各类推广产品。为了逃避监管和技术追踪，这些公司采用了数据加密、代码混淆、动态加载、多层跳转等多种技术对抗手段。

02

背后隐藏的利益输送关系

借助外网搜索引擎可以发现由天津某科技提供支持、搭建于"重庆某有限公司"等多家公司服务器下的"某推广结算系统"后台，证明了背后围绕天津某科技形成的推广结算利益输送链条。

03

外网构建系统中的隐藏关系

在收集天津某科技域名相关信息的过程中，我们发现了一个曾面向外网开放的程序自动构建网站，相关信息被搜索引擎快照收录保存。

目前，火绒安全软件已实现对此类云控推广模块的识别、拦截及查杀。为保障您的设备安全与使用体验，远离流量劫持、强制弹窗、静默安装等不良行为的侵扰，建议广大用户将火绒安全软件更新至最新版本，随后启动全盘查杀功能对设备进行全面扫描，及时清除潜在风险。火绒也将持续追踪，为用户构建持续、可靠的安全防护屏障。

检查更新