11月11日，火绒安全发文称 ，近期，火绒安全实验室监测发现，包括成都奇鲁科技有限公司、天津杏仁桉科技有限公司在内的多家软件厂商通过云控配置方式构建大规模推广产业链。这些厂商利用云端配置指令动态控制软件推广行为，实现流量变现。以鲁大师为例，其推广行为包括：利用浏览器弹窗推广“传奇”类页游、在未获用户明确许可的情况下弹窗安装第三方软件、篡改京东网页链接并插入京粉推广参数以获取佣金、弹出带有渠道标识的百度搜索框、植入具有推广性质且伪装为正常应用的浏览器扩展程序等。

这些厂商在未充分向用户告知或故意模糊告知相关情况的前提下，利用用户流量进行变现操作。通过伪装成正规应用的方式，与用户“捉迷藏”，使用户难以识别并定位真正的推广源头。此外，这些厂商还采用多种技术对抗手段，如数据加密、代码混淆、动态加载、多层跳转等，以阻碍安全分析与行为复现，蓄意隐匿其损害用户体验的行为。

火绒安全通过溯源分析发现，这些公司之间存在隐蔽的关联关系，利用隐藏的结算体系进行利益输送。例如，天津杏仁桉科技有限公司搭建的推广结算系统后台显示，其与成都奇鲁科技有限公司存在密切的业务关联。此外，这些公司还通过外网构建系统隐藏技术协作关系，进一步逃避监管。

在技术层面，这些推广模块通过云控配置实时调整自身行为，根据用户的系统环境、地理位置、使用时长、是否充值等多维度信息判断用户价值，仅对“安全”目标、“小白”用户启动推广行为。例如，鲁大师会根据用户所在地区、下载渠道、是否为技术人员等条件，动态调整推广策略，避免向高风险用户投放推广内容。

推广方式多样，包括下载并加载浏览器插件、通过任务栏图标闪烁推广“传奇”页游、篡改浏览器主页、弹出百度搜索框与“传奇”页游框等。这些推广行为不仅影响用户体验，还可能涉及隐私泄露和安全风险。