文章总结： 本文揭露FlixVision应用以免费流媒体为幌子，暗中将用户家庭网络变为代理节点的恶意行为。通过逆向分析发现其内置带宽货币化SDK，在后台建立代理服务并外联C&C服务器，涉及设备注册、配置获取及mproxy服务启动等步骤。文章提供了IOCs并建议用户警惕此类应用，避免宽带资源被滥用。 综合评分： 90 文章分类： 恶意软件,移动安全,安全意识,威胁情报,应用安全

谁在用你的带宽赚钱？揭秘你的住宅网络是如何沦为代理节点的

原创

T0daySeeker T0daySeeker

T0daySeeker

2026年4月28日 16:41 四川

在小说阅读器读本章

去阅读

文章首发地址：
https://xz.aliyun.com/news/92031
文章首发作者：
T0daySeeker

概述

不知道大家是否听说过免费机顶盒的套路？又或者了解过“利用家里的空闲宽带赚钱”这类看似诱人的说法？

或许大部分朋友以为这就是“薅羊毛”，是自己占了便宜。但是却不知这背后其实是一个将个人住宅网络沦为他人盈利工具的陷阱。

理解这一陷阱的关键，在于打破对“机顶盒”或相关免费应用的传统认知。它们早已不只是单纯用于观看电视节目、影视内容的硬件终端或软件工具，而是一个部署在用户家庭网络中的微型服务器，可将用户的家庭网络转变为可被操控的网络代理节点。

近期，笔者就留意到一款名为 FlixVision 应用，该应用主要适配Android系统及Amazon Fire TV Stick设备，是一款第三方免费流媒体应用。此应用表面上以免费观看电影、电视节目为噱头吸引用户安装，背地里却悄悄占用用户宽带资源，私自搭建隐蔽的网络代理通道。

FlixVision使用

为直观感受 FlixVision 应用的隐蔽性，笔者将其安装至模拟器环境。从前端界面来看，该应用仅提供免费影视、电视播放等常规功能，「从交互界面完全无法察觉任何异常」。

但若对应用进行网络抓包分析，便可发现其存在可疑的异常外联行为。

相关截图如下：

FlixVision_v3.1.1r.apk

在笔者关注时，可直接从https://github.com/fvision8/fvreleases/releases项目下载相关apk，但截至笔者发文时，此用户账号已经被删除。

可疑组件

分析APK的Mainfest文件时，发现其中存在一个可疑广播接收器组件。

对组件信息进行解析，提取组件属性如下：

• com.mon.app_bandwidth_monetizer_sdk.service.BootReceiver：接收到广播信号后的逻辑处理入口
• BOOT_COMPLETED：系统开机/重启完成广播

进一步分析，梳理组件核心功能为：监听 Android 设备的开机/重启完成广播，触发后执行com.mon.app_bandwidth_monetizer_sdk.service.BootReceiver逻辑代码。

相关代码截图如下：

可疑SDK

基于广播触发后的逻辑代码入口，我们可发现相关可疑代码均存放于 com.mon.app_bandwidth_monetizer_sdk 包中。

将包名中 “bandwidth_monetizer” 字符串转换为中文，即为“带宽货币化”。

相关代码截图如下：

初始化实例

SDK功能触发后，将调用 new AppBandwidthMonetizerSdkHelper(s, “b4ee55d5-c3dc-4183-9c58-3eb5a82c93cb”, “888”, “2.0.0”, false, this.a); 函数初始化实例。

根据代码功能，推测实例代码中的 “b4ee55d5-c3dc-4183-9c58-3eb5a82c93cb” 值应该是推广者的推广ID。

相关代码截图如下：

后台运行

初始化实例后，样本将调用 startForegroundService 、 startService 函数在后台运行。

相关代码截图如下：

外联请求

SDK服务启动后，样本将调用 provideRetrofit 函数向 “https://dror.applinked.cloud/” 地址发起外联请求，推测其用作上线请求。

相关代码截图如下：

外联请求注册设备

SDK服务启动后，样本将调用 registerMyDevice 函数向 “flixview.apis.cyberprotector.online” 地址发起网络请求，用以注册设备。

相关代码截图如下：

外联请求配置信息

成功注册设备后，样本将调用 getNewConfiguration 函数继续向 “flixview.apis.cyberprotector.online” 地址发起网络请求，用以获取配置信息。

相关代码截图如下：

mproxy.cfg配置文件

外联通信成功接收配置信息后，样本将接收到的配置信息写入mproxy.cfg文件中。

相关代码截图如下：

mproxy服务

SDK服务启动后，样本将加载内置的 libmproxy.so 库文件，用以实现mproxy服务的启动、关闭、重启等操作。

相关代码截图如下：

内置 libmproxy.so 库文件截图如下：

MProxy.start函数调用截图如下：

MProxy.stop函数调用截图如下：

MProxy.reload函数调用截图如下：

libmproxy.so

导出函数

通过分析，基于 libmproxy.so 库文件导出函数，即可过滤提取 FlixVision_v3.1.1r.apk 样本mproxy服务的对应功能接口。

相关截图如下：

读取配置文件

mproxy服务启动后，将读取设备目录中的 mproxy.cfg 配置文件，获取代理转发信息。

相关代码截图如下：

代理服务

成功读取配置文件后，样本即可在当前设备上开启代理服务，构建网络代理节点。

相关代码截图如下：

SDK调研

基于 FlixVision_v3.1.1r.apk 内的可疑组件名称，笔者溯源定位到该 SDK 的官方网站。

对照官网介绍资料可以发现，其公开描述的功能与本次逆向分析得出的实际行为完全吻合。

相关截图如下：

IOCs

FlixVision_v3.1.1r.apk
9A1B1407D26D6979C95D21DE4CEDA965
dror.applinked.cloud
flixview.apis.cyberprotector.online

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：T0daySeeker T0daySeeker T0daySeeker《谁在用你的带宽赚钱？揭秘你的住宅网络是如何沦为代理节点的》